Я - amu.kz · соответствии с iso 27001:2005 нформационная безопасность (таблица 1). ... проводимое в целях выявления

АО «Медицинский университет Астана»

Интегрированная система менеджмента

П-МУА-05-12

Изд.№ 1

Стр.1 из 38 Политика информационной безопасности

Запрещается несанкционированное копирование документа!

КОПИЯ №_______ Утверждена решением

Правления АО «Медицинский

университет Астана»

№ 39 от « 19 » ноября 2012г.

П О Л И Т И К А

ИНТЕГРИРОВАННАЯ СИСТЕМА МЕНЕДЖМЕНТА

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

П-МУА-05-12

г.Астана



П-МУА-05-12

Изд.№ 1



ПРЕДИСЛОВИЕ

1 РАЗРАБОТАНА: отделом информационных технологий

2 РАЗРАБОТЧИКИ – начальник отдела информационных технологий

Маралов А.А.

– главный специалист по информационной безопасности

отдела информационных технологий

Айманов Е.Г.

– ведущий специалист отдела менеджмента качества и

стартегического планирования Сегизбаева Г.М.

3 ВНЕДРЕНА – отделом информационных технологий

4 УТВЕРЖДЕНА « 19 » ноября 2012г

5 ВВЕДЕНА

В ДЕЙСТВИЕ

« 19 » ноября 2012г

6 СОГЛАСОВАНА – проректор по образовательной деятельности

Жаксылыкова Г.А.

– проректор по научной и клинической деятельности

Галицкий Ф.А.

– проректор по воспитательной и социальной

деятельности Хайрли Г.З.

– проректор по административной и экономичечкой

деятельности Нуржаубай М.О.

– начальник управления кадровой работы и правового

обеспечения Сыздыков Б.А.

– начальник отдела менеджмента качества и

стратегического планирования Жумашева З.С.

– начальник юридического отдела

Устинович О.С.

7 ПЕРИОДИЧНОСТЬ ПЕРЕСМОТРА 1 раз в 3 года



П-МУА-05-12

Изд.№ 1



Содержание

1 Введение 4

2 Область применения 4

3 Термины и определения 5

4 Сокращения и обозначения 7

5 Нормативные ссылки 7

6 Общие положения 7

7 Основная часть 8

8 Анализ угроз информационной безопасности 19

9 Уязвимость информационной системы университета 21

10 Обзор потенциальных угроз безопасности для информационной системы

университета 23

11 Перечень мероприятий по организации информационной безопасности 27

12 Порядок отнесения к коммерческой тайне, охрана коммерческой тайны

университета 30

13 Порядок отнесения сведений к государственной тайне, охрана государственной

тайны университета 33

14 Ответственность 34

15 Пересмотр, внесение изменений, хранение и рассылка 35

Лист согласования 36

Лист регистрации изменений 37

Лист ознакомления 38



П-МУА-05-12

Изд.№ 1



1 ВВЕДЕНИЕ

1.1 В настоящее время сформировалось устойчивое отношение к информации всех видов,

как к ценнейшему ресурсу. Объясняется это небывалым ростом объема информационных потоков

в современном обществе. В первую очередь это относится к тем направлением государственной

деятельности, которые являются наиболее важными в жизнеобеспечении общества, а именно:

экономика; наука; образование; социальная сфера; др. Все эти направления тесно пересекаются, и

развитие каждого напрямую зависит от качества используемой информации, ее достоверности и

полноты, оперативности и формы представления. В данной политике, из перечисленных

направлений, рассматривается система образования, которое является источником высшего

образования, на прямую влияющего на развитие государства в целом. АО «Медицинский

университет Астана» (далее - Университет), является обладателем значительных информационных

ресурсов различных видов и типов, выраженных в различных формах, влияющих на его

деятельность. Значимость этих ресурсов чрезвычайно, высока и, поэтому существует

необходимость постоянно удерживать их в сохранности, т.е. возрастает потребность защиты этих

ресурсов как от несанкционированного использования, так и от влияния других непредсказуемых

факторов. Для обеспечения надежной защиты, необходимо постоянно держать во внимании, и

анализировать всевозможные источники угроз, сопоставлять им уязвимости и определять

потенциальные угрозы, реализация которых прямо или косвенно может нанести вред

информационной системе (далее - ИС) Университета.

1.2 Учитывая тенденции развития мировой и отечественной экономики, в соответствии с

которыми, информация и информационные технологии становятся важнейшими активами

современного образования, способствующими повышению его конкурентоспособности,

Университет уделяет особое внимание решению задачи обеспечения информационной

безопасности (далее - ИБ).

1.3 Под ИБ, Университет понимает состояние защищенности своих интересов (целей) от

угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств

информационных активов: конфиденциальности, целостности и доступности. Обеспечение ИБ

Университета осуществляется в рамках циклической модели менеджмента ИБ «планирование —

реализация — проверка — совершенствование», отвечающей принципам и модели

корпоративного менеджмента в Университете.

1.4 Стратегическим решением для Университета становится принятие Системы менеджмента

защиты информации (далее – СМЗИ). На проектирование и реализацию СМЗИ Университета

влияют ее потребности и цели, требования защиты, применяемые процессы, а также размер и

структура. Ожидается, что все эти элементы, а также их вспомогательные системы будут со

временем меняться. Ожидается, что реализация СМЗИ будет масштабироваться в соответствии с

потребностями Университета.

2 ОБЛАСТЬ ПРИМЕНЕНИЯ

2.1 Требования, установленные в Политике информационной безопасности (далее –

Политика ИБ), носят общий характер и предназначены для применения ко всем структурным

подразделениям, распространяются на всех работников Университета, имеющих доступ к

информационным активам и ИТ-инфраструктуре, а так же учитываются в отношениях с

контрагентами (потребителями продукции, обучающимися, поставщиками, партнерами,

консультантами и т.д.).

2.2 Этот документ можно использовать для оценки соответствия заинтересованными

внутренними и внешними сторонами.



П-МУА-05-12

Изд.№ 1



3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

3.1 В настоящей Политике ИБ использованы термины и соответствующие им определения в

соответствии с МС ISO 27001:2005 Информационная безопасность (таблица 1).

Таблица 1. Термины и определения

Термины Определения

Актив (объект защиты

информации)

информация или носитель информации, или информационный процесс, которые

необходимо защищать в соответствии с целью защиты информации.

Анализ информационного

риска

систематическое использование информации для выявления угроз безопасности

информации, уязвимостей информационной системы Университета и

количественной оценки вероятностей реализации угроз с использованием

уязвимостей и последствий реализации угроз для информации и информационной

системы, предназначенной для обработки этой информации.

Аудиторская проверка ин-

формационной безопаснос-

ти в организации; аудит

информационной безопас-

ности в организации

периодический независимый и документированный процесс получения

свидетельств аудита и объективной оценки с целью определить степень выполнения

в Университете установленных требований по обеспечению информационной

безопасности.

Вредоносная программа программа, предназначенная для осуществления несанкционированного доступа к

информации и (или) воздействия на информацию или ресурсы информационной

системы.

Документированная

информация

зафиксированная на материальном носителе путем документирования информация

с реквизитами, позволяющими определить такую информацию, или в

установленных законодательством Республики Казахстан случаях ее материальный

носитель.

Доступ к информации возможность получения информации и ее использования.

Защита информации деятельность, направленная на предотвращение утечки защищаемой информации,

несанкционированных и непреднамеренных воздействий на защищаемую

информацию.

Защита информации от

утечки

защита информации, направленная на предотвращение неконтролируемого

распространения защищаемой информации в результате ее разглашения и

несанкционированного доступа к ней, а также на исключение (затруднение)

получения защищаемой информации разведками и другими заинтересованными

субъектами.

Защищаемая

информационная система

информационная система, предназначенная для обработки защищаемой

информации с требуемым уровнем ее защищенности.

Защищаемая информация информация, являющаяся предметом собственности Университета и подлежащая

защите в соответствии с требованиями правовых документов или требованиями,

устанавливаемыми собственником (Университетом) информации.

Информация сведения (сообщения, данные) независимо от формы их представления.

Информация,

составляющая

коммерческую тайну

научно-техническая, финансово-экономическая или иная информация (в том числе

составляющая секреты Университета (ноу-хау), которая имеет действительную или

потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к

которой нет свободного доступа на законном основании и в отношении которой

обладателем такой информации введен режим коммерческой тайны.

Конфиденциальность

информации

обязательное для выполнения лицом, получившим доступ к определенной

информации, требование не передавать такую информацию третьим лицам без

согласия ее обладателя или доступ к информации только авторизованных

пользователей.



П-МУА-05-12

Изд.№ 1



Криптографическая

защита информации

защита информации с помощью ее криптографического преобразования

Мониторинг безопасности


постоянное наблюдение за процессом обеспечения безопасности информации в

информационной системе Университета с целью установить его соответствие

требованиям безопасности информации.

Несанкционированное

воздействие на

информацию

воздействие на защищаемую информацию с нарушением установленных прав и

(или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению,

блокированию доступа к информации, а также к утрате, уничтожению или сбою

функционирования носителя информации.

Правовая защита


защита информации правовыми методами, включающая в себя разработку

законодательных и нормативных правовых документов (актов), регулирующих

отношения субъектов по защите информации, применение этих документов (актов),

а также надзор и контроль за их исполнением.

Предоставление


действия, направленные на получение информации определенным кругом лиц или

передачу информации определенному кругу лиц.

Риск оценка последствий и вероятности происхождения в определенном временном

интервале инцидента связанного с потерей, искажением или доступностью

неопределенному кругу лиц копий объектов информационной системы

находящихся вне защищаемой информационной среды.

Сертификация на соответ-

ствие требованиям по

безопасности информации

Университета

форма осуществляемого органом по сертификации подтверждения соответствия

объектов оценки требованиям по безопасности информации, установленным

техническими регламентами, стандартами или условиями договоров.

Сетевая инфраструктура информационные системы Университета, осуществляющие деятельность по

эксплуатации информационных систем, в том числе по обработке информации,

содержащейся в ее базах данных.

Система защиты


совокупность структурных подразделений и (или) исполнителей, используемой ими

техники защиты информации, а также объектов защиты информации,

организованная и функционирующая по правилам и нормам, установленным

соответствующими документами в области защиты информации

Система менеджмента

защиты информации

часть общей системы менеджмента, основанной на подходе деловых рисков, с

целью создать, внедрить, эксплуатировать, постоянно контролировать,

анализировать, поддерживать в рабочем состоянии и улучшать защиту

информации.

Специальная проверка проверка объекта информатизации Университета в целях выявления и изъятия

возможно внедренных закладочных устройств

Специальное исследование

(объекта защиты


исследование, проводимое в целях выявления технических каналов утечки

защищаемой информации и оценки соответствия защиты информации

Университета (на объекте защиты) требованиям нормативных и правовых

документов в области безопасности информации.

Средство защиты


техническое, программное, программно-техническое средство, вещество и (или)

материал, предназначенные или используемые для защиты информации.

Техническая защита


защита информации, заключающаяся в обеспечении некриптографическими

методами безопасности информации (данных), подлежащей (подлежащих) защите в

соответствии с действующим законодательством, с применением технических,

программных и программно-технических средств.

Требование по защите


установленное правило или норма, которая должна быть выполнена при

организации и осуществлении защиты информации, или допустимое значение

показателя эффективности защиты информации

Угроза (безопасности


совокупность условий и факторов, создающих потенциальную или реально

существующую опасность нарушения безопасности информации.



П-МУА-05-12

Изд.№ 1



Управление

информационной

безопасностью

это циклический процесс, включающий осознание степени необходимости защиты

информации и постановку задач; сбор и анализ данных о состоянии

информационной безопасности; оценку информационных рисков; планирование

мер по обработке рисков; реализацию и внедрение соответствующих механизмов

контроля, распределение ролей и ответственности, обучение и мотивацию

сотрудников Университета, оперативную работу по осуществлению защитных

мероприятий; мониторинг функционирования механизмов контроля, оценку их

эффективности и соответствующие корректирующие воздействия.

Физическая защита


защита информации путем применения организационных мероприятий и

совокупности средств, создающих препятствия для проникновения или доступа

неуполномоченных физических лиц к объекту защиты.

4 СОКРАЩЕНИЕ И ОБОЗНАЧЕНИЯ

Таблица 2. Сокращения и обозначения № п/п Обозначения и

сокращения

Полное название приведенных обозначений и сокращений

1 ISO International Organization for Standardization

2 ИР Информационные ресурсы

3 КПП Контрольно-пропускной пункт

4 НСД Несанкционированный доступ

5 ПК Персональный компьютер

6 ПО Программное обеспечение

7 СМЗИ Система менеджмента защиты информации

8 СМИ Средство массовой информации

9 СМИБ Система менеджмета информационная безопасность

10 СУИБ Средства управления информационной безопасностью

11 ЭВМ Электронно-вычислительная машина

5 НОРМАТИВНЫЕ ССЫЛКИ

5.1 В настоящем документе Университета приведены ссылки на следующие нормативные

документы:

Указ Президента Республики Казахстан от 14 ноября 2011 года № 174 «О Концепции

информационной безопасности Республики Казахстан до 2016 года»

IC CSR 26000:2011. Социальная ответственность организации. Требования;

МС ISO 26000:2010. Руководство по социальной ответственности;

МС ISO 9001:2008. Системы менеджмента качества. Требования;

МС ISO 9000:2005. Системы менеджмента качества. Основные положения и словарь;

МС ISO 27001:2005. Система менеджмента информационной безопасности. Требования;

КП-МУА-ПУ-01. Карта процесса. Управление университетом;

Закон Республики Казахстан от 8 мая 2003 года, от 11.12.2007г. №217-3 «Об

информатизации».

6 ОБЩЕЕ ПОЛОЖЕНИЕ

6.1 Настоящая Политика ИБ Университета устанавливает цели, задачи и принципы в

области ИБ, которыми руководствуется Университет в своей деятельности, определяет требования

для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем

состоянии и улучшения документированной СМЗИ в контексте общих деловых рисков

Университета, также определяет требования для реализации СУИБ, приспособленных к

потребностям Университета и отдельных структурных подразделений Университета.



П-МУА-05-12

Изд.№ 1



6.2 Политика ИБ Университета определяет и описывает решение об осуществлении

целенаправленной систематической деятельности по обеспечению ИБ; общий подход к

распределению ответственности за обеспечение ИБ внутри Университета; указание на

необходимость для всего персонала соблюдать определенные меры предосторожности при работе

с информацией и ИС, повышать свою квалификацию в данной области и осознавать меру

ответственности за возможные нарушения; отношение руководства Университета к фактам

нарушения требований по обеспечению ИБ и лицам, совершающим такие нарушения, а также

общий подход к их преследованию в случае выявления таких фактов.

6.3 Политика ИБ служит для формулирования и демонстрации отношения руководства

Университета к вопросам ИБ и отражения общих целей всего Университета в этой области;

основой для разработки индивидуальных политик безопасности (на более низких уровнях), правил

и инструкций, регулирующих отдельные вопросы; средством информирования работников об

основных задачах и приоритетах Университета в сфере ИБ.

6.4 Политика ИБ определяет отношение Университета (руководства) к определенным

аспектам его деятельности и функционирования информационных систем: отношение и

требования к отдельным информационным потокам и ИС, обслуживающим различные сферы

деятельности, степень конфиденциальности, доступности, целостности информации, а также

требования к надежности (например, в отношении финансовой информации, а также ИС и

персонала, которые относятся к ней); отношение и требования к определенным информационным

и телекоммуникационным технологиям, методам и подходам к обработке информации и

построения ИС; отношение и требования к сотрудникам Университета как к участникам

процессов обработки информации, от которых напрямую зависит эффективность многих

процессов и защищенность информационных ресурсов, а также основные направления и методы

воздействия на персонал с целью повышения ИБ.

6.5 Политика ИБ разрабатывается для того, чтобы обеспечить выбор адекватных и

пропорциональных средств управления информационной безопасностью, которые защищают

информационные активы и придают уверенность заинтересованным сторонам.

6.6 Политика ИБ дает ясное представление о требуемом поведении пользователей,

администраторов и других работников Университета при внедрении и использовании

информационных систем и средств защиты информации, при осуществлении информационного

обмена и выполнении операций по обработке информации, а также защита самих пользователей

(сотрудников Университета, его клиентов и контрагентов).

6.7 Политика ИБ является общедоступным документом, который может предоставляться без

ограничений всем заинтересованным сторонам.

7 ОСНОВНАЯ ЧАСТЬ

7.1 Цели и задачи обеспечения информационной безопасности

7.1.1 Основными целями обеспечения ИБ являются:

- создание и укрепление системы защиты информации Университета;

- обеспечение направления и поддержки со стороны руководства Университета для защиты

информации в соответствии с требованиями, а также законами и нормами в области ИБ;

- защита ИР, а также прав человека и интересов Университета в информационной сфере;

- недопущение информационной зависимости Университета, информационной экспансии

или блокады со стороны контрагентов (государств, партнеров, подрядчиков, поставщиков и др.);

- повышение деловой репутации и корпоративной культуры Университета.

7.1.2 Основными задачами, решаемыми при проведении олитики ИБ Университета являются:

- совершенствование нормативных внутренних документов Университета в соответствии с

законодательством Республики Казахстан (далее – РК) в области ИБ;



П-МУА-05-12

Изд.№ 1



- выявление, оценка, прогнозирование источников угроз ИБ, определение параметров

доступности защищаемых объектов;

- разработка политики обеспечения ИБ, комплекса мероприятий и методов ее реализации;

- координация деятельности структурных подразделений Университета в области

обеспечения ИБ;

- развитие системы обеспечения ИБ, совершенствование ее организации, форм, методов и

средств нейтрализации угроз ИБ, ликвидации последствий ее нарушений;

- организация мероприятий по строгому и неукоснительному соблюдению режимов учёта

авторизации и аутентификации сотрудников;

- постоянный контроль и аудит всех доступных объектов информационной структуры,

в том числе с целью включения их в информационную среду и организации их дальнейшей

защиты;

- обеспечение активного участия Университета в процессах создания и использования

глобальных информационных сетей и систем;

- оптимизация существующей информационной инфраструктуры университета

и прогнозирование её развития с учётом требований поддержания ИБ на максимальном уровне

при оптимальных затратах.

7.2 Принципы реализации политики информационной безопасности

7.2.1 При достижении поставленных целей Университет намерен руководствоваться

следующими принципами:

- вовлеченность высшего руководства Университета в процесс обеспечения ИБ.

Деятельность по обеспечению ИБ инициирована и контролируется высшим руководством

Университета (Правлением). Координация деятельности по обеспечению ИБ осуществляется в

рамках действующего в Университете Правления, в состав которого входят представители

высшего руководства. Высшее руководство Университета выполняет те же правила по

обеспечению ИБ, что и все работники;

- законность обеспечения ИБ. Университет реализует меры обеспечения ИБ в строгом

соответствии с действующим законодательством и договорными обязательствами;

- согласованность действий по обеспечению информационной, физической и

экономической безопасности. Действия по обеспечению информационной, физической и

экономической безопасности осуществляются на основе четкого взаимодействия

заинтересованных подразделений Университета и согласованы между собой по целям, задачам,

принципам, методам и средствам4;

- экономическая целесообразность. Университет стремится выбирать меры обеспечения ИБ

с учетом затрат на их реализацию, вероятности возникновения угроз ИБ и объема возможных

потерь от их реализации;

- знание своих работников. Университет стремится тщательно подбирать персонал

(работников), вырабатывать и поддерживать корпоративную этику, что создает благоприятную

среду для деятельности и снижает риски ИБ;

- документированность требований ИБ. Университет стремится, чтобы все требования в

области ИБ были зафиксированы во внутренних нормативных документах утвержденных

руководством;

- осведомленность в вопросах обеспечения ИБ. Документированные требования в области

ИБ доводятся до сведения работников Университета и контрагентов в части их касающейся.

Университет на периодической основе осуществляет информирование, обучение работников по

вопросам обеспечения ИБ;

- реагирование на инциденты ИБ. Университет стремится выявлять, учитывать и

оперативно реагировать на действительные, предпринимаемые и вероятные нарушения ИБ;



П-МУА-05-12

Изд.№ 1



- персональная ответственность. Работники Университета несут персональную

ответственность за соблюдение требований ИБ. Обязанности по обеспечению ИБ включаются в

трудовые договоры и должностные инструкции работников, а так же в договоры (соглашения) с

контрагентами;

- учет действий с информационными активами. Университет стремится вести учет всех

действий работников и контрагентов с информационными активами;

- предоставление минимально необходимых прав доступа. Работникам Университета и

контрагентам предоставляются минимально необходимые права доступа для качественного и

своевременного выполнения трудовых обязанностей и договорных обязательств. При этом

Университет стремится предоставлять права доступа таким образом, чтобы выполнение особо

важной (критичной) операции осуществлялось с участием как минимум двух работников;

- учет требований ИБ в проектной деятельности. Помимо операционной деятельности,

Университет стремится учитывать требования ИБ в проектной деятельности. Разработка и

документирование требований по обеспечению ИБ осуществляется на начальных этапах

реализации проектов, связанных с обработкой, хранением и передачей информации.

7.3 Заинтересованные стороны

7.3.1 Заинтересованными сторонами при реализации Политики Университета считает:

- акционеров и потенциальных инвесторов;

- органы государственной власти (МЗ, МОН РК);

- контрагентов (потребители продукции - обучающиеся, поставщики, подрядчики и т.д.) и

деловых партнеров (потенциальные контрагенты, зависимые от общества и т.д.);

- работников Университета.

7.3.2 Организация эффективного взаимодействия Университета с заинтересованными

сторонами способствует долгосрочному постоянному развитию и непрерывности бизнеса,

соблюдению требований законодательства и договорных обязательств в части ИБ, обеспечению

высокой деловой репутации, обеспечению своевременной поставки продукции, повышению

квалификации работников и корпоративной культуры. Университет обеспечивает защиту

конфиденциальной информации, полученной от заинтересованной стороны на уровне, разумно

достаточном для заинтересованной стороны, но не меньшем, чем уровень защиты собственной

конфиденциальной информации.

7.4 Документационное обеспечение

7.4.1 Университет разрабатывает и внедряет внутренние нормативные документы по

обеспечению ИБ на основе законодательных требований РК, а так же положений международных

и национальных стандартов в области ИБ:

- долгосрочную программу мероприятий по обеспечению ИБ;

- стандарты, положения и инструкции по обеспечению ИБ;

- планы обеспечения непрерывности бизнеса и действий в случаях чрезвычайных ситуаций.

7.4.2 Университет на периодической основе проводит анализ внутренних нормативных

документов на предмет их эффективности и непротиворечивости, а так же поддерживает данные

документы в актуальном состоянии. Политика пересматривается не реже одного раза в два года.

7.5 Управление рисками

7.5.1 Активная позиция руководства Университета в вопросах управления рисками ИБ

выражается в поддержке регулярной деятельности по следующим направлениям:

- идентификация и категорирование активов, подлежащих защите, и определение

владельцев этих активов;



П-МУА-05-12

Изд.№ 1



- своевременное выявление и прогнозирование угроз ИБ в отношении

идентифицированных активов;

- оценка вероятности реализации угроз ИБ и степени их влияния на деятельность

Университета на основе методов, позволяющих обеспечить сравнимые и воспроизводимые

результаты;

- обработка рисков ИБ;

- оценка эффективности применяемых методов и средств обеспечения ИБ, в том числе с

привлечением внутренних и внешних (планирование) аудиторов.

7.6 Стратегические инициативы

7.6.1 Для достижения поставленных целей в области обеспечения ИБ Университет

осуществляет:

- внедрение СМИБ в соответствии с международным стандартом ISO/IEC 27001:2005

«Information Technology. Security techniques. Information security management systems.

Requirements»;

- сертификацию особо важных (критичных) для деятельности Университета бизнес-

процессов на соответствие международному стандарту ISO/IEC 27001:2005 «Information

Technology. Security techniques. Information security management systems. Requirements»;

- внедрение передовых программных, аппаратных и технических решений в области

информационной безопасности.

7.7 Объекты, угрозы, методы, средства и основные направления обеспечения

информационной безопасности университета

7.7.1 К объектам информационной безопасности относятся:

- права физических и юридических лиц, государства на получение, распространение и

использование информации, защиту конфиденциальной информации и интеллектуальной

собственности;

- информационные ресурсы вне зависимости от форм хранения, содержащие сведения,

составляющие государственные секреты, коммерческую тайну и другую конфиденциальную

информацию, а также открытую (общедоступную) информацию;

- система формирования, хранения, распространения и использования информационных

ресурсов, включающая в себя информационные системы различного класса и назначения,

библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и

процедуры сбора, обработки, хранения и передачи информации, научно-технический и

обслуживающий персонал;

- система формирования общественного сознания (мировоззрение, политические взгляды,

моральные ценности и прочие), базирующаяся на средствах массовой информации и пропаганды;

- сети телекоммуникаций специального назначения, а также спутниковые системы связи;

- открытия, незапатентованные технологии, математические и технологические алгоритмы,

полезные модели и экспериментальное оборудование;

- средства и системы информатизации (средства вычислительной техники, информационно-

вычислительные комплексы, сети и системы), программные средства (операционные системы,

системы управления базами данных, другое общесистемное и прикладное программное

обеспечение), автоматизированные системы управления, системы связи и передачи данных,

осуществляющие прием, обработку, хранение и передачу информации.

7.7.2 Понятия и структура ИС Университета. ИС Университета, является организационно –

технической системой, в которой реализуются информационные технологии, и предусматривается

использование аппаратного, программного и других видов обеспечения, необходимого для



П-МУА-05-12

Изд.№ 1



реализации информационных процессов сбора, обработки, накопления, хранения, поиска и

распространения информации.

7.7.3 Основу ИС Университета составляют территориально распределенные компьютерные

системы (вычислительные сети), элементы которых расположены в отдельно стоящих зданиях, на

разных этажах этих зданий и связаны между собой транспортной средой, которая использует

физические принципы ("витая пара", оптико-волоконные каналы, радиоканал и т.п.). Основу

аппаратных (технических) средств таких систем составляют ЭВМ (группы ЭВМ), периферийные,

вспомогательные устройства и средства связи, сопрягаемые с ЭВМ. Состав программных средств

определяется возможностями ЭВМ и характером решаемых задач в данной ИС.

7.7.4 Основными элементами, составляющими такую систему, являются:

- локальная сеть;

- каналы и средства связи;

- узлы коммутации;

- рабочие места сотрудников ИС;

- учебные лаборатории;

- рабочее место удаленного пользователя;

- носители информации (магнитные, оптические и др.);

- отдельные ПК и рабочие станции;

- непосредственно пользователи (работники и обучающиеся Университета).

7.7.5 Перечисленные элементы в процессе функционирования, активно взаимодействую

между собой, что в свою очередь позволяет использовать различные точки доступа к

информационным ресурсам: это библиотека, компьютерные классы, кафедральные и

факультетские компьютерные сети, и, наконец, система доступа студентов и преподавателей

Университета с домашних компьютеров (удаленных компьютеров). Такое количество точек

доступа к ИР, в значительной степени повышает проблему безопасности.

7.7.6 Угрозы ИБ Университета в зависимости от их происхождения можно разделить на

внешние и внутренние.

7.7.7 К внешним угрозам относятся:

- неконструктивная политика внешних контрагентов в области глобального

информационного мониторинга, распространения информации и новых информационных

технологий;

- деятельность разведывательных и специальных служб;

- преступные действия международных групп, формирований и отдельных лиц,

промышленный и банковский шпионаж;

- стихийные бедствия и катастрофы;

- деятельность международных террористических и экстремистских организаций;

- деятельность политических и экономических структур, направленная против интересов

Университета, в целом РК.

7.7.8 Внутренними угрозами являются:

- противозаконная деятельность политических и экономических структур в области

формирования, распространения и использования информации;

- неправомерные действия государственных структур, приводящие к нарушению законных

прав и интересов Университета в информационной сфере;

- нарушения установленных регламентов сбора, обработки, хранения и передачи

информации;

- преднамеренные неправомерные действия и непреднамеренные ошибки персонала

информационных систем;

- отказы технических средств и сбои программного обеспечения в информационных и

телекоммуникационных системах.

7.7.9 Источниками угроз информационной безопасности являются:



П-МУА-05-12

Изд.№ 1



- отдельные иностранные политические, экономические, военные и информационные

структуры;

- разведывательные и специальные службы иностранных государств;

- международные террористические и экстремистские организации;

- незаконные политические, религиозные и экономические структуры деструктивной

направленности;

- организованные криминальные сообщества и группы;

- отдельные физические и юридические лица;

- стихийные бедствия и катастрофы.

7.7.10 Реализация вышеперечисленных угроз может осуществляться различными способами:

информационными, программно-математическими, физическими, радиотехническими и

организационно-правовыми.

7.7.11 К информационным способам относятся:

- нарушения адресности и своевременности информационного обмена, противозаконный

сбор и использование информации;

- несанкционированный доступ к информации и информационным ресурсам,

неправомерное уничтожение, модификация и копирование данных в информационной сфере;

- несанкционированное воздействие и/или манипулирование информацией

(дезинформации, сокрытие или искажение информации);

- незаконное копирование данных в информационных системах;

- использование СМИ с позиций, противоречащих интересам человека, общества и

государства;

- хищение информации из библиотек, архивов, банков и баз данных;

- нарушение технологии обработки информации.

7.7.12 Программно-математические способы включают:

- внедрение программ-вирусов;

- установку программных и аппаратных закладных устройств;

- уничтожение и модификацию данных в информационных системах.

7.7.13 Физические способы включают:

- уничтожение или разрушение средств обработки информации и связи;

- уничтожение, разрушение или хищение машинных или других оригиналов носителей


- хищение программных или аппаратных ключей и средств криптографической защиты


- воздействие на персонал.

7.7.14 Радиотехническими способами являются:

- перехват информации с использованием технических средств, размещаемых вблизи

объекта защиты либо подключаемых к каналам связи или техническим средствам обработки


- электронные устройства перехвата информации в технических средствах и помещениях;

- перехват, дешифрование и навязывание ложной информации в сетях передачи данных и

линиях связи;

- воздействие на парольно-ключевые системы;

радиоэлектронное подавление линий связи и систем управления.

7.7.15 Организационно-правовые способы включают:

- закупки несовершенных или устаревших и не прошедших подтверждение соответствия

технических средств и средств информатизации;

- невыполнение требований законодательства и создание препятствий в принятии

необходимых нормативных правовых актов в информационной сфере;

- умышленное или безответственное предоставление потребителям недостоверной,

неполной, искаженной информации;



П-МУА-05-12

Изд.№ 1



- неправомерное ограничение доступа к документам, содержащим важную для физических

и юридических лиц информацию.

7.7.16 Методы и средства обеспечения ИБ Университета группируются следующим образом:

7.7.17 Правовые:

- разработка комплекса нормативных правовых актов, регламентирующих

информационные отношения в Университете, руководящих и нормативно-методических

документов по обеспечению ИБ;

7.7.18 Программно-технические:

- предотвращение утечки за счет побочных электромагнитных излучений и наводок

обрабатываемой информации путем исключения несанкционированного доступа или воздействия

на нее;

- предотвращение специального воздействия, вызывающего разрушение, уничтожение,

искажение информации или сбои в работе средств информатизации;

- выявление внедренных программных или аппаратных закладных устройств;

- специальная защита технических средств обработки информации от средств технической

разведки;

- применение криптографических методов и средств защиты информации;

7.7.19 Организационно экономические:

- формирование и обеспечение функционирования систем защиты секретной и

конфиденциальной информации;

- лицензирование деятельности в сфере ИБ;

- техническое регулирование и области ИБ;

- контроль и мотивация действий персонала в защищенных информационных системах

(экономическое стимулирование, психологическая поддержка и другие);

- обеспечение охраны и режима доступа к информационным системам и информационным

ресурсам;

- проведение социологических исследований (мониторинга) по изучению общественного

мнения, источников угроз, условий и факторов, влияющих на их возникновение.

7.7.20 Наряду с широким использованием стандартных методов и средств приоритетными

направлениями обеспечения ИБ являются:

- разработка и принятие правовых норм, устанавливающих ответственность физических и

юридических лиц за несанкционированный доступ и хищение информации, разрушение и

искажение информации, преднамеренное распространение недостоверной информации,

разглашение информации ограниченного доступа;

- повышение достоверности, полноты, сопоставимости и защищенности информации путем

введения ответственности первичных источников информации, организации действенного

контроля за деятельностью служб обработки и анализа информации, использования специальных

организационных и программно-технических средств технической защиты информации;

- создание и совершенствование специальной защиты финансовой и коммерческой

информации, а также информации персонального характера, касающейся состояния здоровья

человека;

- разработка комплекса организационно-технических мероприятий по совершенствованию

технологии информационной деятельности и защиты информации в Университете с учетом

специфической деятельности;

- совершенствование системы профессионального отбора и подготовки персонала для

сбора, обработки, анализа и распространения экономической информации.

7.7.21 Уровень защиты всей системы Университета определяется степенью защиты

уязвимых мест на конкретных точках доступа.

7.7.22 ИР Университета включают в себя документальные и информационные потоки для

обеспечения учебного и научного процессов. К ним относятся рабочие планы специальностей,

рабочие программы дисциплин, учебные графики, сведения о контингенте вуза, приказы и



П-МУА-05-12

Изд.№ 1



распоряжения ректора и деканов факультетов, электронный каталог библиотеки, электронные

журналы офис-регистратора и другие полнотекстовые базы данных, как создаваемые на месте, так

и приобретаемые в отдельных структурных подразделениях.

7.7.23 Совокупность ИР, наряду с высококвалифицированным персоналом является одной из

составляющих успешного функционирования Университета. Все материалы, подготовленные

Университетом, связанные с обеспечение учебного процесса, являются служебными, и требуют

особого обращения. Часть из них не подлежит разглашению, другие материалы требуют

специального режима использования. Это подтверждает, что в Университете, циркулирует

информация различного уровня доступа и функционального наполнения. Эту информацию можно

разделить на два основных типа с точки зрения регламентации распространения и использования:

общедоступная информация и информация ограниченного распространения, рис.1:

Рис. 1 Классификация информации по типу регламентации распространения и

использования.

7.7.24 Под общедоступной информацией понимается информация собираемая, создаваемая

и/или сохраняемая Университетом и, которая не составляет государственную или иного вида

тайну, определенную законодательством, либо уставом Университета. К ней можно отнести:

учебные расписания, методички и др.

7.7.25 К информации ограниченного доступа относится информация, определенная

законодательством или уставом Университета, как информация ограниченного доступа.

7.7.26 Объекты защиты должны соответствовать следующим условиям:

- принадлежность к одному и тому же организационному компоненту ИС;

- локализация (ограничение с точки зрения территориального расположения).

- исходя из структуры ИС Университета, к объектам защиты можно отнести:



П-МУА-05-12

Изд.№ 1



- рабочие станции пользователей;

- рабочие станции администраторов;

- серверы (сетевые, баз данных, приложений);

- аппаратура связи (модемы, маршрутизаторы);

- периферийные устройства коллективного пользования (принтеры);

- помещения (места установки оборудования, хранилища машинных носителей

информации и т.д.).

7.7.27 Элементы защиты специфицируются, как правило, для каждого отдельного объекта

защиты. Так, по признаку локализации можно выделить следующие основные элементы защиты

данных:

- обрабатываемых в ЭВМ;

- на дискете, внешнем запоминающем устройстве;

- на локальном жестком диске рабочей станции;

- На жестком диске сервера;

- обрабатываемы в аппаратуре связи;

- передаваемы по каналу (линии) связи;

- данные, выводимые из ЭВМ на периферийные устройства.

7.7.28 При формировании политики безопасности, соответствующие структурные

подразделения Университета, должны осуществлять комплексный подход к защите ИС.

Комплексный подход подразумевает использование единой совокупности законодательных,

организационных и технических мер, направленных на выявление, отражение и ликвидации

различных видов угроз ИБ.

7.7.29 Все имеющиеся у Университета информационные объекты (и соответствующие

элементы информационной инфраструктуры), могут быть разделены на пять или шесть основных

групп по уровню своей значимости и конфиденциальности:

7.7.30 Государственная и/или критически важная (абсолютно секретная) информация –

информация, требующая особых гарантий безопасности. Университет, владеет значительным

объемом информации, относящейся к передовым направлениям науки и техники, используемой

как при подготовке специалистов, так и при выполнении научно-исследовательских работ,

значительная часть которых финансировалась, и финансируется по настоящее время государством

(другими государствами). Среди этого потока информации существует значительное количество

сведений, составляющих государственную тайну, разглашение которых может нанести ущерб

государственным интересам и интересам международных программ. Обращение с этими

сведениями требует особого режима, исключающего допуск сторонних лиц. Права и обязанности

участников информационных процессов при работе со сведениями, составляющими

государственную тайну, регламентируются законом «О государственной тайне»;

7.7.31 Важная информация (информация, составляющая коммерческую тайну) –

информация, составляющая коммерческую тайну Университета (секретам производства),

принадлежащие Университету на законных основаниях сведения любого характера

(производственные, технические, финансово-экономические, организационные и другие), в том

числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения

о способах осуществления профессиональной деятельности при условии, что:

- эти сведения имеют действительную или потенциальную коммерческую ценность в силу

неизвестности их третьим лицам;

- к этим сведениям нет свободного доступа на законном основании;

- университет принимает надлежащие меры (правовые, организационные, технические) к

охране их конфиденциальности, т.е. вводит режим коммерческой тайны.

7.7.32 Не может быть установлен режим коммерческой тайны в отношении следующих

сведений:

- содержащихся в учредительных документах Университета;



П-МУА-05-12

Изд.№ 1



- содержащихся в документах, дающих право на осуществление предпринимательской

деятельности;

- о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-

эпидемиологической и радиационной обстановке;

- о численности, о составе работников, о системе оплаты и условиях труда, о наличии

свободных рабочих мест;

- о нарушениях законодательства Республики Казахстан и фактах привлечения к ответ-

ственности за совершение этих нарушений;

- о перечне лиц, имеющих право действовать без доверенности от имени юридического

лица. используемая только внутри Университета, нарушение конфиденциальности которой может

нанести серьезный ущерб самому Университету или его партнерам.

7.7.33 Эти сведения принято называть служебной и/или коммерческой тайной. К ним

относятся:

7.7.34 Общие сведения:

- протоколы заседаний Правления Университета или его отдельные положения, а также

материалы по вопросам повестки дня заседаний (кроме материалов, которые необходимо

размещать на сайте общества в соответствии с требованиями устава);

- сведения о переговорах о слиянии компаний с Университетом и дочерними

организациями или о этапах заключения крупных сделок;

- коммерческая тайна о партнерах Университета, переданная на доверительной основе;

- сведения о разработанных и применяемых инновационных методах в области

корпаротивного управления;

- сведения о штатной численности Университета;

- сведения имеющих баз данных;

- сведения о тактике переговоров с деловыми партнерами.

7.7.35 Сведения финансово-экономической сферы:

- сведения о планируемых инвестициях Университета;

- сведения об отделных финансовых операциях и доходах по этим операциям;

- сведения о ценовой политике и доходах по этим операциям;

- планируемые решения о создании юридических лиц или участия в них;

- конкурсные предложения до его расрытия потенциальным поставщикам;

- фактические состояние расчетов с теми или иными партнерами;

- сведения о производственных, коммерческих и финансовых отношениях с партерами;

- план закупок с указанием сумм;

- условия любых договоров, заключаемых Университетом;

- планируемые рекламные акции;

- отчетность и другая информация о финансово-хояйственной деятельности Университета и

дочерних организаций, за исключением сведения, публикуемых в официальном порядке в

средствах массовой информации.

7.7.36 Сведения в области отношений с партнерами:

- сведения о подготовке и результатах проведения переговоров с деловыми партнерами

Университета;

- сведения об особых условиях отношений с партнерами.

7.7.37 Информация социальной сферы Университета:

- персональные данные работников;

- интелектуальной потенциал коллектива, его специалисты, их моральные и деловые

качества, наличие компроментирующих их сведений, биографические данные;

- используемая в коллектива система оплаты труда, система стимулов, укрепляющих

дисциплину, повышающих производительность труда, сохранность коммерческой тайны;

- кадровая статистика;



П-МУА-05-12

Изд.№ 1



- любые возможности нанесения морального ущерба Университету, понижение его

пристижа в обществе и конкурентоспособности.

7.7.38 Безопасность Университета:

- сведения о порядке и состоянии организации охраны, пропускном режиме, системе

сигнализации, шифрах;

- данные об информационной системе и о применяемых способах информационной

защиты.

7.7.39 Профессиональная/значимая (конфиденциальная) информация – информация,

предназначенная для использования ограниченным кругом сотрудников и руководителей

Университета:

- персональная информация – информация о сотрудниках, не подлежащая разглашению:

персональные данные – любая документированная и/или занесенная на машинные носители

информация, которая относится к конкретному человеку и/или которая может быть отождествлена

с конкретным человеком. Это информация о студентах, о преподавателях, партнерах и др;

- информация для внутреннего использования – информация для использования внутри

Университета, нарушение конфиденциальности которой не может нанести вреда;

- прочая информация – открытая информация, конфиденциальность которой не имеет

особого значения для деятельности Университета;

- доступ к общедоступной информации является открытым и ее использование не может

нанести вреда ИС;

- доступ к информации ограниченного доступа строго регламентирован, т.е. четко

установлено, где, кем, в каком объеме и на каких условиях может быть осуществлено

использование данной информации. Данное разграничение должно обуславливаться тем, что

пользователи ИС Университета имеют различные профессиональные интересы и уровень

подготовки при работе с информацией различного рода. Это преподаватели, занятые постановкой

новых лекционных курсов, лабораторных и исследовательских практикумов; сотрудники, ведущие

исследовательские и проектные разработки; сотрудники финансово-экономического управления,

отдела бухгалтерского учета и отчетности, административно-правовой службы, отдела

организационной и кадровой работы, отдела офис-регистратора, отдел учета студентов и

производственной практики, учебного и научно-исследовательского отделов, деканатов,

библиотеки и т.п., а также студенты.

7.7.40 Из этого следует, что информация ограниченного доступа должна подвергаться

защите от воздействия различных событий, явлений, как внутренних так и внешних, способных в

тои или иной мере нанести ущерб данной информации.

7.7.41 Помимо разграничения прав доступа и определения других мер по защите

циркулирующей в Университете информации, в целом эффективность защиты информации в ИС

достигается лишь в том случае, если обеспечивается ее надежность на всех объектах и элементах

системы, которые могут быть подвергнуты угрозам со стороны дестабилизирующих факторов.

7.7.42 В Университете к таким информационным объектам (государственная и коммерческая

тана) применяются:

- специальные требования к резервному копированию информации (такие как более

высокая частота резервного копирования и использование более надежных носителей для этого);

- специальные требования к идентификации и аутентификации пользователей (такие как

комбинирование биометрической идентификации и идентификации при помощи паролей);

- специальные требования к копировально-множительной технике, используемой для

работы с конфиденциальной информацией;

- специальные требования к помещениям, в которых проводятся совещания по секретной

тематике и обрабатывается соответствующая информация (толщина и материал стен,

расположение помещений в зданиях, защищенность окон, надежность дверей и запоров, а также

охранной и пожарной сигнализации, обследования на предмет выявления подслушивающих

устройств и т.п.) и другие.



П-МУА-05-12

Изд.№ 1



7.7.43 В Университете к Политике ИБ, относящиеся к определенным аспектам

использования информационных технологий, организации информационных потоков и

организации работы персонала (профессиональная, персональная, информации, информация для

внутреннего пользования, прочие информации) –применяются:

- правила опубликования открытых информационных материалов, в том числе политика

организации веб-сайта Университета (www.amu.kz.) и его внутреннего информационного портала

(система мгновенного сообщения на базе сервера «jabber») (в части предотвращения возможных

утечек и искажений информации);

- правила использования сети Интернет (в части предотвращения возможных утечек

информации);

- правила использования отдельных информационных и коммуникационных технологий, в

том числе общие для всего Университета правила использования мобильных компьютеров и КПК,

удаленного доступа к корпоративными информационным системам, а также использования

личных компьютеров сотрудников в служебных целях;

- классификации информационных систем, информационных ресурсов и объектов

информации с точки зрения их значимости и усилий, которые необходимо предпринимать для их

защиты;

- правила приобретения, установки, модификации и обновления программного

обеспечения, а также аутсорсинга разработки и проектирования программного обеспечения;

- правила закупки аппаратных средств информационных систем, систем информационной

безопасности;

- правила использования пользователями собственного программного обеспечения (т.е. ПО,

самостоятельно разрабатываемого Университетом);

- общие для всего Университета правила использования паролей и других средств

персональной идентификации;

- правила использования электронно-цифровой подписи и инфраструктуры публичных

ключей;

- правила обеспечения внутриобъектового режима и физической защищенности

информационных активов;

- правила доступа к внутренним информационным ресурсам сторонних пользователей

(организаций);

- общий для всего Университета порядок привлечения к ответственности за нарушение

определенных правил информационной безопасности.

7.8 Анализ угроз информационной безопасности

7.8.1 Организация обеспечения ИБ в Университете носит комплексный характер. Она

основывается на глубоком анализе негативных всевозможных последствий, на основе анализа

взаимодействия логической цепочки (рис.2):

Рис.2. Логическая цепочка угроз и их проявлений

7.8.2 Основными угрозами информации являются:

- Хищение (копирование информации);

- Уничтожение информации;



П-МУА-05-12

Изд.№ 1



- Модификация (искажение) информации;

- Нарушение доступности (блокирование) информации;

- Отрицание подлинности информации;

- Навязывание ложной информации.

7.8.3 Носителями угроз безопасности информации являются источники угроз. В качестве

источников угроз могут выступать как субъекты (личность) так и объективные проявления.

Источники угроз могут находиться как внутри ИС – внутренние источники, так и вне нее –

внешние источники.

7.8.4 Основными источниками угроз ИБ являются (рис.3):

- обусловленные действиями субъекта (антропогенные источники) – субъекты, действия

которых могут привести к нарушению безопасности информации, данные действия могут быть

квалифицированны как умышленные или случайные преступления. Источники, действия которых

могут привести к нарушению безопасности информации могут быть как внешними так и

внутренними. Данные источники можно спрогнозировать, и принять адекватные меры;

- обусловленные техническими средствами (техногенные источники) – эти источники угроз

менее прогнозируемы и напрямую зависят от свойств техники и поэтому требуют особого

внимания. Данные источники угроз ИБ, также могут быть как внутренними, так и внешними;

- стихийные источники – данная группа объединяет обстоятельства, составляющие

непреодолимую силу (стихийные бедствия, или др. обстоятельства, которые невозможно

предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить),

такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся

на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры

против них должны применяться всегда. Стихийные источники, как правило, являются внешними

по отношению к защищаемому объекту и под ними, как правило, понимаются природные

катаклизмы.



П-МУА-05-12

Изд.№ 1



Рис.3. Источники угроз

7.9 Уязвимость информационной системы университета

7.9.1 Угрозы, как правило, появляются не сами по себе, а через уязвимости, приводящие к

нарушению безопасности в ИС Университета. Уязвимости обуславливаются недостатками

процесса функционирования, свойствами архитектуры ИС, протоколами обмена и интерфейсами,

применяемым программным обеспечением и аппаратной платформой, условиями эксплуатации и

расположения. Источники угроз могут использовать уязвимости для нарушения безопасности

информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу,

пользователю информации).



П-МУА-05-12

Изд.№ 1



7.9.2 Существуют следующие виды уязвимостей:

7.9.2.1 Объективные - зависят от особенностей построения и технических характеристик

оборудования, применяемого в ИС. Полное устранение этих уязвимостей невозможно, они могут

существенно ослабляться техническими и инженерно – техническими методами. К ним можно

отнести:

7.9.2.2 Сопутствующие техническим средствам излучения:

- электромагнитные (побочные излучения элементов технических средств, кабельных

линий технических средств, излучения на частотах работы генераторов, на частотах

самовозбуждения усилителей);

- электрические (наводки электромагнитных излучений на линии и проводки, просачивание

сигналов в сети электропитания, в цепи заземления, неравномерность потребления тока

электропитания).

7.9.2.3 Активизируемые:

- аппаратные закладки (устанавливаемые в телефонные линии, в сети электропитания, в

помещениях, в технических средствах);

- программные закладки (вредоносные программы, технологические выходы из программ,

нелегальные копии ПО).

7.9.2.4 Определяемые особенностями элементов:

- элементы, обладающие электроакустическими преобразованиями (телефонные аппараты,

громкоговорители, микрофоны);

- элементы подверженные воздействию электромагнитного поля (магнитные носители,

микросхемы).

7.9.2.5 Определяемые особенностями защищаемого объекта:

- местоположением объекта (отсутствие контролируемой зоны, наличие прямой видимости

объектов, удаленных и мобильных элементов объекта);

- организацией каналов обмена информацией (использование радиоканалов, глобальных

информационных сетей, арендуемых каналов).

7.9.2.6 Субъективные – зависят от действий сотрудников, в основном устраняются

организационными и программно – аппаратными методами:

7.9.2.7 Ошибки:

- при подготовке и использовании ПО (при разработке алгоритмов и ПО, инсталляции и

загрузке ПО, эксплуатации ПО, вводе данных);

- при управлении сложными системами (при использовании возможностей самообучения

систем, организация управления потоками обмена информации);

- при эксплуатации технических средств (при включении /выключении технических

средств, использовании технических средств охраны, использование средств обмена

информацией).

7.9.2.8 Нарушения:

- режима охраны и защиты (доступа на объект, доступа к техническим средствам);

- режима эксплуатации технических средств (энергообеспечения, жизнеобеспечения);

- режима использования информации (обработка и обмен информацией, хранение и

уничтожение носителей информации, уничтожения производственных отходов и брака);

- режима конфиденциальности (сотрудники в не рабочее время, уволенные сотрудники;

обиженные сотрудники).

7.9.3 Случайные – зависят от особенностей окружающей ИС среды и непредвиденных

обстоятельств.

7.9.3.1 Сбои и отказы:

- отказы и неисправности технических средств (обрабатывающих информацию,

обеспечивающих работоспособность средств обработки информации, обеспечивающих охрану и

контроль доступа);



П-МУА-05-12

Изд.№ 1



- старение и размагничивание носителей информации (дискет и съемных носителей,

жестких дисков, микросхем, кабелей и соединительных линий);

- сбои программного обеспечения (операционных систем и СУБД, прикладных программ,

сервисных программ, антивирусных программ);

- сбои электроснабжения (оборудования, обрабатывающего информацию;

обеспечивающего и вспомогательного оборудования);

7.9.4 Повреждения:

1) жизнеобеспечивающих коммуникаций (электро-, водо-, теплоснабжения, канализации;

кондиционирования и вентиляции);

2) ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий;

корпусов технологического оборудования).

7.10 Обзор потенциальных угроз безопасности для информационной системы

университета

7.10.1 Территориально распределенная структура ИС Университета, создает ряд

предпосылок для реализации разнообразия потенциальных угроз ИБ, которые могут нанести

ущерб ИС. Это разнообразие настолько велико, что не позволяет предусмотреть каждую угрозу.

Поэтому анализируемые характеристики угроз надо выбирать с позиций, одновременно выявляя

не только сами угрозы, размер потенциального ущерба, но их источники и уязвимости системы.

7.10.2 Классификацию потенциальных источников угроз Университета и их проявлений,

целесообразно проводить на основе анализа взаимодействия логической цепочки, показанной на

рис. 4. В ходе анализа, данная логическая цепочка преобразуется в модель:

Рис. 4. Модель реализации угроз ИБ



П-МУА-05-12

Изд.№ 1



7.10.3 Руководствуясь вышеизложенным (структурой ИС Университета, информацией и

объектов подлежащих защите, а также перечнем источников угроз, уязвимостей системы и

собственно угроз), определены потенциальные угрозы ИБ для Университета:

7.10.3.1 Антропогенные источники угроз ИБ:

- субъект (личность), имеющего доступ (санкционированный или несанкционированный) к

работе со штатными средствами защищаемого объекта. Источники, действия которых могут

привести к нарушению безопасности информации могут быть как внешними так и внутренними,

как случайными, так и преднамеренными. Внутренние и внешние источники могут использовать

различные классы уязвимостей: объективные, субъективные, случайные. Методы

противодействия для данной группы управляемы, и напрямую зависят от служб безопасности

Университета, руководителей структурных подразделений;

- внешние источники - напрямую вызваны деятельностью человека. Среди которых можно

выделить: случайные и преднамеренные;

- случайные (непреднамеренные). Данные источники могут использовать такие классы

уязвимостей, как субъективные и случайные. Субъективные могут выражаться в ошибках,

совершенных при проектировании ИС и ее элементов, ошибками в программном обеспечении.

Случайные могут определятся различного рода сбоями и отказами, повреждениями,

проявляемыми в ИС Университета. К таким источникам можно отнести персонал поставщиков

различного рода услуг, персонал надзорных организаций и аварийных служб, др. Действия

(угрозы) исходящие от данных источников совершаются по незнанию, невнимательности или

халатности, из любопытства, но без злого умысла. Основные угрозы от таких действий –

уничтожение, блокирование, искажение информации;

- преднамеренные. Проявляются в корыстных устремлениях субъектов (злоумышленников).

Основная цель таких источников – умышленная дезорганизация работы, вывода системы из строя,

разглашения и искажения конфиденциальной информации за счет проникновения в систему

посредством НСД и утечки по техническим каналам. Угрозы от таких источников могут быть

самые разные: хищение (копирование информации); уничтожение информации; модификация

информации; нарушение доступности (блокирование) информации; навязывание ложной

информации. В качестве таких источников могут выступать: потенциальные преступники

(террористы) и хакеры; недобросовестные партнеры; представители силовых структур;

- внутренние источники – как правило, представляют собой первоклассных специалистов в

области эксплуатации программного обеспечения и технических средств, знакомых со

спецификой решаемых задач, структурой и основными функциями и принципами работы

программно – аппаратных средств защиты информации, имеют возможность использования

штатного оборудования и технических средств сети Университета. К таким источника можно

отнести: основной персонал; представителей служб безопасности; вспомогательный персонал;

технический персонал (жизнеобеспечение, эксплуатация – отдел информационных технологий).

Угрозы от таких источников, также могут самые разные: хищение (копирование информации);

уничтожение информации; модификация информации; нарушение доступности (блокирование)

информации; навязывание ложной информации;

- от реализации угроз, исходящих от антропогенных источников, последствия для ИС

Университета могут быть самыми различными от сбоя в работе, до краха системы в целом. НСД и

утечка по техническим каналам может привести: к неконтролируемой передаче пользователями

конфиденциальной информации; заражению компьютеров и сетей ИС компьютерными вирусами;

нарушению целостности (уничтожению) информации, хранящейся в базах данных и серверах

Университета; преднамеренному блокированию серверов и сетевых служб; НСД к различным

информационно – вычислительным ресурсам Университета;

- угрозы этой группы, могут реализовываться различными методами: аналитические;

технические; программные; социальные; организационные;

- данная группа источников ИБ, наиболее обширна, и представляет наибольший интерес с

точки зрения организации защиты. При организации защиты, службы ИБ Университета должны



П-МУА-05-12

Изд.№ 1



определять степень доступности каждого источника к защищенному объекту, квалификацию и

привлекательность совершения деяний со стороны источника угрозы.

7.10.3.2 Техногенные источники - источники угроз данной группы, напрямую зависят от

свойств техники и, поэтому требуют не меньшего внимания. Данные источники также могут быть

как внутренними, так и внешними:

- внешние источники – средства связи (телефонные линии); сети инженерных

коммуникаций (водоснабжение, канализации).

- внутренние источники – некачественные технические средства обработки информации;

некачественные программные средства обработки информации; вспомогательные средства охраны

(охраны, сигнализации, телефонии); другие технические средства, применяемые в ИС

Университета. Данная группа источников менее прогнозируема и напрямую зависит от свойств

техники применяемой в ИС и поэтому требует особого внимания со стороны служб ИБ (далее -

СИБ) Университета. Угрозы от таких источников могут быть следующие: потеря информации,

искажение блокирование, др. Для предотвращения таких угроз необходимо использовать (по

возможности) надежную вычислительную и другую необходимую для надежного

функционирования технику, лицензионное ПО. Также во время анализа, не стоит упускать

непредвиденные ошибки пользователей во время эксплуатации техники и ПО. Такие ошибки

могут создать слабости, которыми в свою очередь могут воспользоваться злоумышленники.

Согласно статистике, 65% потерь – следствие таких ошибок.

7.10.3.3 Стихийные источники - данная группа источников отличается большим

разнообразием и непредсказуемостью. Стихийные источники, как правило, являются внешними по

отношению к защищаемому объекту (Университету) и под ними, прежде всего, понимаются

природные катаклизмы: пожары; землетрясения; ураганы; наводнения; различные

непредвиденные обстоятельства. Возникновение этих источников тяжело спрогнозировать, а

противодействовать им тем более. Несмотря на это, служба безопасности; отдел по эксплуатации

зданий и сооружений, реконструкции и строительства; сектор материально-технического

обеспечения, обслуживания административных и учебных помещений), должны уделять им не

малое внимание, т.к. результат от их реализации один – ущерб ИС , и там уже не важно каким

образом он был нанесен (пожар, землетрясение, др.). Поэтому должны применяться всевозможные

методы противодействия - организационные, технические, др., а также разрабатываться планы

действий в результате возникновения любого из них. Должны проводится семинары по обучению

персонала и других пользователей ИС уметь вести себя в чрезвычайных ситуациях. Угрозы от

таких источников могут быть разными от блокирования информации, до ее уничтожения. Данным

источникам можно сопоставить различные классы уязвимостей. Например, стихийные источники

могут воздействовать на ИС через случайные уязвимости (повреждения жизнеобеспечивающих

коммуникаций), субъективные уязвимости (нарушения при эксплуатации) и могут привести к

таким последствиям как пожар, сбой в электроснабжении и другим непредсказуемым

последствиям. Также при организации мер защиты, ИБ Университета, должны учитывать

особенности обстановки расположения (различные климатические, сейсмологические условия и

др.).

7.10.4 К мерам защиты (противодействия) Университета от вышеперечисленных источников

можно отнести:

7.10.4.1 Программно-технические способы и средства обеспечения ИБ:

- средства защиты от НСД:

- средства авторизации;

- мандатное управление доступом;

- избирательное управление доступом;

- управление доступом на основе ролей;

- журналирование (так же называется Аудит);

- системы анализа и моделирования информационных потоков (CASE-системы);

- системы мониторинга сетей;

http://ru.wikipedia.org/wiki/%D0%90%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F

http://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D0%BD%D0%B4%D0%B0%D1%82%D0%BD%D0%BE%D0%B5_%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BE%D0%BC

http://ru.wikipedia.org/wiki/%D0%98%D0%B7%D0%B1%D0%B8%D1%80%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5_%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BE%D0%BC

http://ru.wikipedia.org/wiki/%D0%A3%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BE%D0%BC_%D0%BD%D0%B0_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D0%B5_%D1%80%D0%BE%D0%BB%D0%B5%D0%B9

http://ru.wikipedia.org/wiki/%D0%96%D1%83%D1%80%D0%BD%D0%B0%D0%BB%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5

http://ru.wikipedia.org/wiki/%D0%90%D1%83%D0%B4%D0%B8%D1%82



П-МУА-05-12

Изд.№ 1



- системы обнаружения и предотвращения вторжений (IDS/IPS);

- системы предотвращения утечек конфиденциальной информации (DLP-системы);

- анализаторы протоколов;

- антивирусные средства;

- межсетевые экраны;

- криптографические средства;

- шифрование;

- цифровая подпись;

- системы резервного копирования;

- системы бесперебойного питания;

- источники бесперебойного питания;

- резервирование нагрузки;

- генераторы напряжения;

- системы аутентификации;

- пароль;

- ключ доступа (физический или электронный);

- сертификат;

- биометрия;

- средства предотвращения взлома корпусов и краж оборудования;

- средства контроля доступа в помещения;

- инструментальные средства анализа систем защиты;

- мониторинговый программный продукт.

7.10.4.2 Организационная защита объектов информатизации - это регламентация

производственной деятельности и взаимоотношений исполнителей на нормативно-правовой

основе, исключающей или существенно затрудняющей неправомерное овладение

конфиденциальной информацией и проявление внутренних и внешних угроз:

- организация охраны, режима, работы с кадрами, с документами;

- использование технических средств безопасности и информационно-аналитическую

деятельность по выявлению внутренних и внешних угроз деятельности Университета.

7.10.4.3 К основным организационным мероприятиям можно отнести:

- организацию режима и охраны. Их цель — исключение возможности тайного

проникновения на территорию и в помещения посторонних лиц;

- организацию работы с сотрудниками, которая предусматривает подбор и расстановку

персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с

конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил

защиты информации и др.;

- организацию работы с документами и документированной информацией, включая

организацию разработки и использования документов и носителей конфиденциальной

информации, их учет, исполнение, возврат, хранение и уничтожение;

- организацию использования технических средств сбора, обработки, накопления и

хранения конфиденциальной информации;

- организацию работы по анализу внутренних и внешних угроз конфиденциальной

информации и выработке мер по обеспечению ее защиты;

- организацию работы по проведению систематического контроля за работой персонала с

конфиденциальной информацией, порядком учета, хранения и уничтожения документов и

технических носителей.

7.10.5 Непрерывное улучшение. Университет должен постоянно улучшать результативность

CУИБ, посредством использования Политики ИБ, целей защиты информации, результатов аудита,

анализа наблюдаемых событий, корректирующих и предупреждающих действий и анализа со

стороны руководства.

7.10.6 Поддерживать в рабочем состоянии и улучшать СУИБ, СМЗИ.

http://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9

http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%B5%D0%B4%D0%BE%D1%82%D0%B2%D1%80%D0%B0%D1%89%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%82%D0%B5%D1%87%D0%B5%D0%BA

http://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%90%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80%D1%8B_%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA%D0%B0

http://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%90%D0%BD%D1%82%D0%B8%D0%B2%D0%B8%D1%80%D1%83%D1%81%D1%8B

http://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%9C%D0%B5%D0%B6%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D1%8D%D0%BA%D1%80%D0%B0%D0%BD%D1%8B

http://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%8F

http://ru.wikipedia.org/wiki/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5

http://ru.wikipedia.org/wiki/%D0%A6%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%BF%D0%B8%D1%81%D1%8C

http://ru.wikipedia.org/wiki/%D0%A0%D0%B5%D0%B7%D0%B5%D1%80%D0%B2%D0%BD%D0%BE%D0%B5_%D0%BA%D0%BE%D0%BF%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5

http://ru.wikipedia.org/wiki/%D0%98%D1%81%D1%82%D0%BE%D1%87%D0%BD%D0%B8%D0%BA_%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%80%D0%B5%D0%B1%D0%BE%D0%B9%D0%BD%D0%BE%D0%B3%D0%BE_%D0%BF%D0%B8%D1%82%D0%B0%D0%BD%D0%B8%D1%8F

http://ru.wikipedia.org/wiki/%D0%AD%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_%D0%B3%D0%B5%D0%BD%D0%B5%D1%80%D0%B0%D1%82%D0%BE%D1%80

http://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%90%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F

http://ru.wikipedia.org/wiki/%D0%9F%D0%B0%D1%80%D0%BE%D0%BB%D1%8C

http://ru.wikipedia.org/w/index.php?title=%D0%9A%D0%BB%D1%8E%D1%87_%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0_(%D1%84%D0%B8%D0%B7%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_%D0%B8%D0%BB%D0%B8_%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%BD%D1%8B%D0%B9)&action=edit&redlink=1

http://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82_(%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%8F)

http://ru.wikipedia.org/wiki/%D0%91%D0%B8%D0%BE%D0%BC%D0%B5%D1%82%D1%80%D0%B8%D1%8F

http://ru.wikipedia.org/w/index.php?title=%D0%9C%D0%BE%D0%BD%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%BD%D0%B3%D0%BE%D0%B2%D1%8B%D0%B9_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D1%8B%D0%B9_%D0%BF%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82&action=edit&redlink=1



П-МУА-05-12

Изд.№ 1



7.10.7 Университет должен регулярно делать следующее.

7.10.7.1 Внедрять выявленные улучшения в СУИБ, СМЗИ.

7.10.7.2 Осуществлять надлежащие корректирующие и предупреждающие действия.

Применять уроки, полученные из опыта защиты других организаций, а также из опыта самого

Университета.

7.10.7.3 Сообщать обо всех действиях и улучшениях всем заинтересованным сторонам с

уровнем детальности, соответствующим обстоятельствам и, по значимости, согласовывать

дальнейшие действия.

7.10.7.4 Гарантировать, что улучшения достигают предполагаемых целей.

7.10.8 Корректирующие действия.

7.10.8.1 Университет должен предпринимать действия по устранению причины

несоответствия требованиям СУИБ (СМЗИ) для того, чтобы предотвращать повторение.

Документированная процедура для корректирующего действия должна определять

требования для следующего:

- выявление несоответствий;

- определение причин несоответствий;

- оценивание потребности в действиях, чтобы гарантировать, что несоответствия не

возникнут снова;

- определение и реализация требующихся корректирующих действий;

- записывание результатов предпринятых действий;

- анализ предпринятого корректирующего действия.

7.10.8.2 Предупреждающие действия.

7.10.8.3 Университет определяет действия для устранения причины возможного

несоответствия требованиям СМЗИ для того, чтобы предотвратить его возникновение.

Предпринятые предупреждающие действия должны соответствовать негативному влиянию

возможных проблем. Документированная процедура для предупреждающего действия должна

определять требования для следующего:

- выявление возможных несоответствий и их причин;

- оценивание потребности в действии, имеющем целью предотвратить случай

несоответствия;

- определение и реализация требуемого предупреждающего действия;

- записывание результатов предпринятого действия;

- анализ предпринятого предупреждающего действия.

7.10.9 Университет выявляет изменившиеся риски и определяет требования к

предупреждающим действиям, сосредоточив внимание на значительно изменившихся рисках.

7.10.10 Приоритет предупреждающих действий должен быть определен на основе

результатов оценки риска.

7.11 Перечень мероприятий по организации информационной безопасности

7.11.1 Организация внутриобъектового режима и охраны помещений и территорий (служба

безопасности) является частью общей работы Университета по обеспечению сохранности

имущества и непрерывности текущей деятельности. Основной задачей обеспечения

внутриобъектового режима является недопущение посторонних лиц к информационным активам и

предотвращение угроз ИБ.

7.11.1.1 Основой внутриобъектового режима является пропускной режим, в рамках которого

устанавливаются:

- документы, дающие право прохода на территорию Университета – как пропуска и карты

доступа для сотрудников и обучающихся, выданные самим Университетом, так и документы,

выданные сторонними организациями (например, служебные удостоверения должностных лиц

некоторых органов государственной власти);



П-МУА-05-12

Изд.№ 1



- категории пропусков, используемых в Университете, в соответствии с которыми

(категориями) ограничивается срок действия пропусков, время возможного прохода на

территорию предприятия (дни недели, часы суток) и некоторые другие параметры;

- порядок выдачи, обмена, продления и изъятия пропусков, а также порядок действий

сотрудников и должностных лиц при утрате пропуска;

- порядок организации пропуска лиц, автотранспорта и проноса (провоза) имущества:

размещение и порядок работы контрольно-пропускных пунктов, возможность пропуска тех или

иных лиц, средств автотранспорта и грузов через те или иные КПП и др.;

- основные положения документооборота, используемого при проходе посетителей на

территорию Университета — требования к ведению Журнала регистрации прохода посетителей,

требования к документам, на основе которых выдаются разовые пропуска, порядок выдачи

разовых пропусков и т.п.;

- порядок досмотра транспортных средств, допускаемых на территорию Университета.

7.11.2 Кроме того, в рамках организации внутриобъектового режима предусмотрено

разделение помещений и территорий на отдельные зоны (по этажам) с ограничением доступа (в

том числе на основе разделения помещений и территорий на различные категории – главный

корпус ул. Бейбитшилик,49а; учебные корпусы - ул. Бейбитшилик, 49, 51, 53; ул. Сарыарка,33,

общежития –ул Победы,45 а,б), также могут быть определены основные требования к

техническим средствам разграничения доступа и организации их использования.

7.11.3 С технической точки зрения меры по обеспечению пропускного и внутриобъектового

режимов также реализованы средствами контроля доступа: видеонаблюдения, охранной

сигнализации и физической защиты.

7.11.3.1 В основе средств контроля доступа лежат механизмы опознавания личности и

сравнения с установленными параметрами. Политика ИБ Университета устанавливает как

упрощенные подходы к опознаванию, когда охранники проверяют документы (подтверждение

личности, подтверждение возможности прохода на территорию в данное время через данный

КПП), так и использование автоматизированных средств, когда опознание посетителя и

подтверждение (либо запрет) возможности прохода на территорию (выхода с территории, из

здания) производится автоматизированной системой контроля доступа (турникет) на основе

имеющихся у посетителя машиночитаемых средств персональной идентификации (пластиковых

карт, жетонов и т.п.).

7.11.3.2 Физическая защита объектов Университета предполагает усиление конструкций

ограждений, элементов зданий и отдельных помещений (бухгалтерия, финасово-экономический

блок, компьютерные классы, библиотека, центр тестирования, отдел студенческого учета и

производственной практики, архив, отдел кадровой и организационной работы). К таким

средствам относятся защита оконных проемов металлическими решетками и ставнями,

использование металлических дверей, запирающих устройств, сейфов для хранения средств

вычислительной техники и носителей информации, дипломов для обучающихся, личные дела

сотрудников, студентов; юридические договора с партнерами, обучающимися, поставщиками

работ и услуг; заявки на материально-техническое обеспечение структурных подразделений в

отделе государственных закупок и др.)

7.11.3.3 В соответствии с особенностями используемых помещений и территорий политика

безопасности Университета также предусматривает расположение мест хранения и обработки

информации (например, архивов или серверных комнат) в помещениях, наименее доступных для

проникновения, наиболее удаленных от мест хранения взрывоопасных и легковоспламеняющихся

веществ, наиболее защищенных от ударов молнии и т.п.

7.11.3.4 С физической защитой непосредственно связано использование средств охранной

сигнализации и видеонаблюдения. В зависимости от характера охраняемого объекта (территория,

здание, проход, помещение, отдельный шкаф или сейф) в средствах сигнализации применяются

датчики, работающие на различных физических принципах (фотоэлектрические датчики, датчики

объема, аккустические датчики и т.п.), имеющие различные настройки и использующие различные



П-МУА-05-12

Изд.№ 1



каналы связи. В отличие от средств сигнализации средства видеонаблюдения позволяют не только

установить факт нарушения, но и в деталях отслеживать его, контролировать ситуацию, а также

вести видеозапись, которую можно будет использовать для принятия дальнейших мер (поиск

нарушителей, уголовное преследование и т.п.)

7.11.3.5 Отдельной задачей является обеспечение ИБ при процессе транспортировки

носителей информации и других объектов, требующее использования как специальных

организационных приемов, так и специальных технических средств. К организационным методам

относится привлечение специально подготовленного курьера (специалист отдела организационной

и кадровой работы), а также разделение носителей информации (объектов) на части и их

раздельная транспортировка с целью минимизации возможностей утечки информации. К

техническим средствам, применяемым при транспортировке объектов, относятся защищенные

контейнеры, специальные упаковочные материалы, а также тонкопленочные материалы и

голографические метки, позволяющие идентифицировать подлинность объектов и контролировать

несанкционированный доступ к ним.

7.11.4 Политика ИБ Университета опубликования материалов в открытых источниках (таких

как газеты, журналы, выставки, сеть Интернет, радио- и телепередачи, конференции, музейные

экспозиции и т.п.) должна обеспечивать предотвращение случайных и организованных утечек

конфиденциальной информации при взаимодействии со средствами массовой информации,

общественными и государственными органами, научным, академическим и бизнес-сообществом.

Для того чтобы избежать ущерба интересам Университета.

7.11.4.1 Такая политика содержит основные правила и процедуры подготовки

информационных материалов к открытому опубликованию.

7.11.4.2 В частности, в политике безопасности Университета предусмотрено создание ряда

структурных подразделений: редакционная коллегия внутривузовских журналов «Астана

медициналық журналы», «Валеология», «Стоматология әлемі», электронного журнала

«Медицинский архив Астаны», газеты «Bonno Esse», отдел стратегического планирования и

маркетинга, менеджер по связям с общественностью, специалист по работе с сайтом Общества,

ответственных за рассмотрение всех информационных материалов, которые предполагается

опубликовать в открытых источниках (содержат конкретные ограничения на опубликование

информационных материалов). Основной задачей таких подразделений и должностных лиц

является подготовка заключений о возможности или невозможности опубликования

определенных информационных материалов, а также подготовка конкретных предложений по

изъятию определенных сведений из материалов, подготавливаемых к опубликованию.

Окончательное решение о возможности опубликования может быть принято руководителем,

Правлением Университета.

7.11.4.3 Характерным примером политики использования сети Интернет являются некоторые

положения Указом Президента РК от 10 октября 2006 года № 199 «О Концепции информационной

безопасности РК», регламентирующего вопросы подключения локальных сетей и персональных

компьютеров к сети Интернет, а также размещение информации в сети Интернет для некоторых

категорий пользователей. Данный документ:

- запрещает включение информационных систем, сетей связи и автономных персональных

компьютеров, где обрабатывается информация, содержащая сведения, которые составляют

государственную тайну, и служебная информация ограниченного распространения, а также для

которых установлены особые правила доступа к информационным ресурсам, в состав средств

международного информационного обмена, в том числе в сеть "Интернет";

- предписывает владельцам открытых и общедоступных государственных информационных

ресурсов осуществлять их включение в состав объектов международного информационного

обмена только при использовании сертифицированных средств защиты информации,

обеспечивающих ее целостность и доступность, в том числе криптографических для

подтверждения достоверности информации.

http://base.zakon.kz/doc/lawyer/?uid=C08BC517-2F62-43DA-BFAC-1A29F1BF92AA&language=rus&doc_id=30073397



П-МУА-05-12

Изд.№ 1



7.11.5 Правила парольной защиты могут определять периодичность замены паролей,

действия, которые необходимо осуществить при компрометации паролей, основные требования к

их качеству, процедурам их генерации, распределению основных обязанностей, связанных с

генерацией паролей, их сменой и доведением до пользователей, а также основные меры

ответственности за нарушение установленных правил и требований. На этом уровне также можно

устанавливать запрет хранения записанных паролей, запрет сообщать кому-либо свой пароль (в

том числе руководителям и администраторам информационных систем) и другие аналогичные

ограничения.

7.11.6 Правила пользователя по эксплуатации и обслуживанию вычислительной техники и

программного обеспечения установки и обновления версий программного обеспечения включает в

себя некоторые ограничения на самостоятельное приобретение и установку программного

обеспечения отдельными подразделениями и пользователями, а также определенные требования к

квалификации специалистов, осуществляющих их установку, настройку и поддержку.

7.11.7 Правила приобретения информационных систем и их элементов (программных и

аппаратных средств) включает в себя требования к лицензированию и сертификации

используемых программного обеспечения и оборудования, а также определенные требования к

фирмам, осуществляющим их поставку и внедрение.

7.11.8 Правила доступа сторонних пользователей (организаций) в информационные системы

Университета содержат перечень основных ситуаций, когда такой доступ возможен, а также

основные критерии и процедуры, в соответствии с которыми осуществляется доступ. Также может

предусматривать распределение ответственности сотрудников самого предприятия за действия

внешних пользователей, которые получают такой доступ.

7.11.9 Правила в отношении разработки ПО может содержит требования как к вопросам

безопасности и надежности программных средств, самостоятельно разрабатываемых

предприятием, так и в отношении передачи разработки программных средств (модулей

информационных систем, отдельных программных библиотек и т.п.) сторонним

специализированным организациям (т.н. "аутсорсинг"), а также в отношении приобретения и

использования тиражируемых программных библиотек (модулей), распространяемых

компаниями-производителями. В частности, содержит требования к тестированию самостоятельно

разрабатываемого ПО, анализу его исходных кодов, описывает основные критерии надежности и

т.п.

7.11.10 Правила использования электронной почты может включать в себя как общие

ограничения на ее использование определенными категориями сотрудников, так и требования к

управлению доступом и сохранению конфиденциальности сообщений, а также к

администрированию почтовой системы и хранению электронных сообщений. Кроме того,

предусматривает:

- запрет на использование электронной почты в личных целях;

- специальные требования к отправке и получению присоединенных файлов, которые

потенциально могут содержать вредоносные программы;

- запрет на использование электронной почты временными сотрудниками;

- требования шифрования передаваемых сообщений;

- наблюдение за всеми передаваемыми и получаемыми сообщениями;

- ограничения на передачу конфиденциальной информации при помощи электронной почты

и другие положения.

7.12 Порядок отнесения к комерческой и служебной тайне, охрана коммерческой и

служебной тайны университета

7.12.1 Порядок отнесения сведений к коммерческой тайне.

7.12.1.1 Работники Университета - авторы объектов, созданных в результате интеллектуальной

деятельности в связи с выполнением трудовых обязанностей, или конкретного задания



П-МУА-05-12

Изд.№ 1



руководителя работы, или с использованием средств и ресурсов Университета, информируют об

их создании руководителя работы (руководителя структурного подразделения).

7.12.1.2 Руководитель работы совместно с руководителем структурного подразделения

Университета (заведующий кафедрой, декан) рассматривает перспективы реализации и

дальнейшего использования созданного или создаваемого объекта, и в случае наличия

существенной действительной или потенциальной коммерческой ценности объекта, а также

невозможности (нецелесообразности) патентования соответствующего технического решения

принимают решение о защите прав на данный объект путем вынесения на заседания Правления

предложения о включении технического решения в перечень сведений, составляющих

служебную, коммерческую или иную охраняемую законом тайну.

7.12.1.3 Ректором Университета по представлению руководителя структурного подразделения

издаётся распоряжение, содержащее:

- название объекта;

- краткую характеристику объекта, обеспечивающую его идентификацию;

- срок охраны указанных сведений;

- указание ответственного лица за проведение мероприятий по охране сведений об объекте.

7.12.1.4 Содержание охраняемых сведений в тексте распоряжения не разглашается.

Распоряжение согласовывается с патентным отделом.

7.12.1.5 Копии распоряжения направляются в патентный отдел и руководителю

соответствующего структурного подразделения.

7.12.1.6 В трудовых договорах, заключаемых между Университетом и работником, в

должностных инструкциях работников, чьи трудовые функции связаны с использованием сведений,

составляющих коммерческую тайну Университета, закрепляется обязанность работника соблюдать

конфиденциальность таких сведений. При этом в обязанность администрации входит:

- ознакомление под расписку работника, доступ которого к информации, составляющей

коммерческую тайну, необходим для выполнения им трудовых обязанностей, с перечнем

информации, составляющей коммерческую тайну, обладателями которой являются Университет и

его контрагенты;

- ознакомление под расписку работника с установленным в Университете режимом

коммерческой тайны и с мерами ответственности за его нарушение;

- создание работнику необходимых условий для соблюдения им установленного в

Университете режима коммерческой тайны.

7.12.2 Охрана коммерческой тайны Университета.

7.12.2.1 Режим коммерческой тайны предусматривает осуществление Университетом

действий по обеспечению охраны сведений, относящихся к коммерческой тайне, от их

несанкционированного распространения.

7.12.2.2 Режим коммерческой тайны считается установленным после принятия

Университетом в отношении информации, составляющей коммерческую тайну, следующих; мер:

- утверждение Перечня сведений, составляющий служебную, коммерческую или иную

охраняемую законом тайну Университета;

- ограничение доступа к информации, составляющей коммерческую тайну, путем

установления порядка обращения с этой информацией и контроля за соблюдением такого порядка:

- учет лиц получивших доступ к информации, составляющей коммерческую тайну, и (или)

лиц, которым такая информация была предоставлена или передана;

- регулирование отношений по использованию информации, составляющей коммерческую

тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-

правовых договоров;

- нанесение на материальные носители (документы), содержащие информацию,

составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой

информации (полное наименование Университета и его место нахождения).



П-МУА-05-12

Изд.№ 1



7.12.2.3 Для реализации указанных мер руководитель работы, работники, имеющие доступ к

сведениям, составляющим коммерческую тайну Университета, обеспечивают охрану сведений

путем:

- ограничения доступа к указанным сведениям для посторонних лиц и для работников

Университета, непосредственно не связанных с этими сведениями (в том числе путем

организации надлежащего хранения физических носителей информации, таких как документация,

образцы техники, машиночитаемые носители);

- соблюдения установленных в Университете правил работы с электронными устройствами

и каналами хранения, обработки и передачи информации (в том числе путем использования

средств криптографической зашиты информации и средств защиты информации от несанкцио-

нированного доступа);

- неразглашения сведений, составляющих коммерческую тайну Университета, в

публикациях, докладах, документации, при экспонировании на выставках, в ходе организационно-

технических переговоров, служебных разговоров и т.п.;

- передачи другим организациям и лицам сведений, составляющих коммерческую тайну

Университета, только в рамках гражданско-правовых договоров, заключенных этими органи-

зациями и лицами с Университетом, с отражением в тексте договора обязательств получающей

стороны соблюдать конфиденциальность переданной информации. Объем передаваемых сведений

и условия передачи определяются руководителем работы и руководителем структурного

подразделения Университета.

7.12.2.4 Охрана сведений, составляющих коммерческую тайну, доверенную Университету

контрагентом, осуществляется аналогично охране сведений, составляющих коммерческую тайну


7.12.2.5 Перечень подлежащих выполнению конкретных мероприятий и требований

определяется особенностями охраняемых сведений.

7.12.2.6 Содержание конкретных мероприятий по охране сведений, составляющих

коммерческую тайну или доверенных Университету как коммерческая тайна другой организации в

соответствии с договором между ними, разрабатывается руководителем соответствующей

работы.

7.12.2.7 Содержание разработанных мероприятий согласовывается с патентным отделом


7.12.2.8 На основании распоряжения или на основании заключенного договора,

предусматривающего обязательства Университета по охране сведений, составляющих

коммерческую тайну другой организации, руководитель работы составляет список исполнителей

работы, административных и технических работников, ознакомленных с указанными сведениями

или с частью этих сведений в связи с выполнением служебных обязанностей. При этом доступ

работников к указанным сведениям осуществляется с его согласия, если это не предусмотрено его

трудовыми обязанностями.

7.12.2.9 Копии распоряжения и подлинники расписок хранятся в структурном

подразделении в виде отдельного дела в условиях, обеспечивающих отсутствие свободного

доступа к данному делу без разрешения руководителя подразделения. В дальнейшем извещение

других работников об отнесении данных сведений к категории коммерческой тайны

Университета или о том, что данные сведения являются коммерческой тайной другой

организации, осуществляется аналогичным образом.

7.12.2.10 В целях охраны конфиденциальности информации работник обязан:

- выполнять установленный в Университете работодателем режим коммерческой тайны; - не разглашать информацию, составляющую коммерческую тайну: обладателями которой

являются Университет и его контрагенты, и без их согласия не использовать эту информацию в

личных целях;



П-МУА-05-12

Изд.№ 1



- передать Университету при прекращении или расторжении трудового договора,

имеющиеся в пользовании работника материальные носители информации, содержащие сведения,

составляющие коммерческую тайну.

7.12.2.11 Проректор по научной и клинической деятельности или по образовательной

деятельности (в зависимости oт отнесения информации к соответствующему направлению

деятельности) организует контроль выполнения мероприятий по защите коммерческой тайны

Университета, привлекая, в необходимых случаях специалистов-патентоведа службы

административно-правовой работы и подразделения по защите коммерческой тайны и

информации.

7.12.3 Нарушение конфиденциальности информации влечет за собой дисциплинарную,

гражданско-правовую, административную или уголовную ответственность в соответствии с

законодательством РК.

7.12.3.1 Работник, который в связи с исполнением трудовых обязанностей получил доступ к

информации, составляющей коммерческую тайну Университета, в случае умышленного или

неосторожного разглашения этой информации при отсутствии в действиях такого работника

состава преступления несет дисциплинарную ответственность в соответствии с законодательством

РК.

7.12.3.2 Возмещение убытков, причиненных Университету в связи с нарушением как прав

Университета на его коммерческую тайну, так и прав его контрагентов производится в

установленном законодательством РК порядке, организациями и лицами (в том числе работниками

Университета), нарушившими указанные права. При этом ответственность нecут также работники и

должностные лица Университета, не выполнившие или не обеспечившие выполнение требований

настоящего положения и тем самым способствовавшие нарушению, а также не принимавшие

необходимых и достаточных мер по пресечению ставших им известными фактов нарушения прав

Университета и его контрагентов.

7.12.3.3 На основании информации о фактах нарушения прав Университета (его

контрагентов) на его (доверенную ему) коммерческую тайну руководство Университета, при не

достижении договоренности об удовлетворении претензий, принимает меры по восстановлению и

защите нарушенных прав и возмещению причиненных убытков.

7.13 Порядок отнесения сведений к государственной тайне, охрана государственной

тайны университета

7.13.1 Организация режима секретности в Университете основывается на требованиях

законодательства РК, касающегося вопросов государственной тайны, и соответствующих

подзаконных актов.

7.13.1.1 Для сведений, составляющих государственную тайну, устанавливаются три степени

секретности: "особой важности", "совершенно секретно" и "секретно", а носители таких сведений

(документы) имеют соответствующие реквизиты.

7.13.1.2 Основным элементом организации режима секретности является допуск

должностных лиц к сведениям, составляющим государственную тайну. В связи с этим

руководство Общества и служба административно-правовой работы (во взаимодействии с

уполномоченными правоохранительными органами) выполняют следующие основные

мероприятия:

- ознакомление должностных лиц с нормами законодательства, предусматривающими

ответственность за нарушение требований;

- получение согласия на временные ограничения их прав в соответствии с

законодательством;

- получение согласия на проведение в отношении их проверочных мероприятий;

- принятие решения о допуске к сведениям, составляющим государственную тайну;



П-МУА-05-12

Изд.№ 1



- заключение с лицами, получившими допуск, трудового договора (контракта), договора по

найму, отражающего взаимные обязательства таких лиц и администрации Университета (в т.ч.

обязательства таких лиц перед государством по нераспространению доверенных им сведений,

составляющих государственную тайну).

7.13.1.3 Помимо отнесения сведений к государственной тайне и допуска должностных лиц к

засекреченным сведениям, важным элементом системы обеспечения режима секретности является

организация информационного обмена между Университетом и другими организациями

(партнеры, подрядчики, поставщики и др.) при совместном выполнении работ. В каждом

отдельном случае решение о передаче сведений выносится Университетом на основании решения

Правления, которые, в свою очередь, руководствуются мотивированным ходатайством

структурных подразделений и отдельных работников Университета, заинтересованных в передаче

секретных сведений.

7.13.1.4 Для обеспечения защиты интересов Университета со стороной (партнеры,

подрядчики, поставщики и др.), принимающей сведения об Университете, договор на выполнение

работ должен предусматривать обязательства сторон по обеспечению сохранности сведений, а

заказчик работ должен контролировать выполнение нормативных требований контрагентами по

таким договорам (наличие лицензий, оформление допуска сотрудников и т.п.) и принимать

необходимые меры в случае выявления нарушений. В договоре указывают необходимые

обязательства по защите получаемой информации, а также порядок разрешения конфликтных

ситуаций и компенсации возможного ущерба.

7.14 Ответственность

7.14.1 Ответственность за проведение политики ИБ формируется на основании следующих

правил:

- ответственность распространяется по принципу соподчинённости подразделений

Университета, имеет иерархическую структуру: ответственность за вышележащие

информационные объекты не может быть возложена на нижележащие структуры, и наоборот —

ответственность за нижележащие объекты может быть возложена на вышестоящие структуры.

- вся полнота ответственности лежит на ректоре Университета, который, по своему

усмотрению и по своей доверенности, может распределять эту ответственность на остальных

сотрудников.

- соблюдение политики ИБ является непременным условием действующего трудового

договора и должностных обязанностей сотрудника.

- сотрудник не может отказаться от возложенных на него права и обязанности следовать

политике ИБ, за исключением случаев противоречащих действующему законодательству РК.

- ответственность за нарушение политики ИБ возникает вне зависимости от умысла.

- тяжесть ответственности за нарушение политики ИБ определяется ректором университета

и не может противоречить действующему законодательству.

7.14.2 Гражданско-правовая ответственность является одним из видов юридической

ответственности и характеризуется применением к нарушителю предусмотренных законом или

договором мер воздействия, влекущих для него отрицательные, экономически невыгодные

последствия имущественного характера.

7.14.3 Договоры, разрешающие доступ третьей стороне (сотрудники, осуществляющие

поддержку и сопровождение аппаратных средств и программного обеспечения, осуществляющие

уборку, питание, охрану, уборку и др. услуги; лица, работающие по трудовым соглашениям,

консультанты) должны включать процедуру определения прав и условий доступа других лиц.



П-МУА-05-12

Изд.№ 1



8 ПЕРЕСМОТР, ВНЕСЕНИЕ ИЗМЕНЕНИЙ, ХРАНЕНИЕ И РАССЫЛКА

8.1 Пересмотр, внесение изменений, хранение и рассылка настоящей Политики

осуществляются в соответствии с требованиями стандарта Университета «Управление

документацией» (СУ-МУА-02).

8.2 Оригинал настоящей Политики регистрируется и хранится в ОМКиСП.

8.3 Сканированная версия настоящей Политики размещается на серверном компьютере

Университета в папке общего доступа.

8.4 Учтенные копии настоящего документа рассылаются во все структурные подразделения.



П-МУА-05-12

Изд.№ 1



Лист согласования



П-МУА-05-12

Изд.№ 1



Лист регистраций изменений

№

п/п Номера листов (страниц) Всего

листов

Номер раздела,

подраздела, пункта

стандарта, к которому

относятся изменения

Подпись лица,

внесшего

изменения

Дата

внесения

изменения

Изм

енен

ны

х

За

мен

енн

ых

Но

вы

х

Ан

ну

ли

ро

ва

нн

ых



П-МУА-05-12

Изд.№ 1



Лист ознакомления

№

п/п

Должность Ф.И.О. Дата

ознакомления

Подпись

Documents

Я - amu.kz · соответствии с iso 27001:2005 нформационная безопасность (таблица 1). ... проводимое в целях выявления