РБ, Минская обл., г. Несвиж, ул. Белорусская, д. 5
тел./ факс: (8 01770) 5 19 79, e-mail: biblio@nesvizh-kultura.by

РБ, Мінская вобл., г.Нясвіж, вул.Беларуская, д.5
тэл./факс:(801770) 5 19 79

5. Действие настоящей Политики распространяется на:

˗ руководителя и работников Учреждения;

˗ работников сторонних организаций, имеющим право на доступ к информационной системе Учреждения в соответствии с соглашением или договором на доступ к ИС, которые оказывают услуги Учреждению по разработке, обслуживанию или поддержке технических средств по обработке информации.

6. Внесение изменений в настоящую Политику должно осуществляться не реже одного раза в 3 календарных года.

7. Внеплановое внесение изменений в настоящую Политику может производиться по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий, а также в случаях изменения законодательства Республики Беларусь в области информации, информатизации и защиты информации.

8. Ответственным за внесение изменений в настоящую Политику является руководитель Учреждения или лицо его замещающее.

Для целей настоящего документа применяются следующие основные термины и их определения:

актив – информация, программные, технические и программно-технические средства обработки информации, которые должны быть защищены организационными мерами и средствами защиты информации;

авторизация – проверка прав субъекта доступа;

информационная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций;

доступность – свойство, характеризующее возможности предоставлять необходимые ресурсы (вычислительные, коммуникационные, информационные, функциональные) авторизованным субъектам (пользователям, процессам) в требуемое им время;

защита информации – комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации;

идентификация − сравнение предъявляемого уникального имени (идентификатора) с перечнем присвоенных идентификаторов;

инцидент информационной безопасности – событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозы информационной безопасности, т.е. реализацию нарушения свойств информационной безопасности информационных активов ИС Учреждения;

конфиденциальность информации – требование не допускать распространения и (или) предоставления информации без согласия
ее обладателя или иного основания, предусмотренного законодательными актами Республики Беларусь;

объект – пассивная сущность, которая содержит или получает информацию и над которой субъекты выполняют операции;

пользователь информационной системы и (или) информационной сети – субъект информационных отношений, получивший доступ к информационной системе и (или) информационной сети и пользующийся ими;

система защиты информации – комплекс организационных и технических мер, направленных на обеспечение конфиденциальности, целостности и доступности информации;

средства криптографической защиты информации технические, программные, программно-аппаратные средства защиты информации, реализующие один или несколько криптографических алгоритмов (шифрование, выработка и проверка электронной цифровой подписи, хэширование, имитозащита) и криптографические протоколы, а также функции управления криптографическими ключами;

субъект доступа – лицо (работник Учреждения, представитель сторонней организации, работающий по договору (при необходимости) и имеющий доступ к активам) или процесс, действия которого регламентируются правилами разграничения доступа;

угроза информационной безопасности – случайное (неумышленное) или преднамеренное (злоумышленное) воздействие, приводящее к нарушению целостности, доступности и конфиденциальности информации или поддерживающей ее инфраструктуры, которое наносит ущерб собственнику, распорядителю или пользователю информации;

целостность – свойство информации сохранять свое информационное содержание и однозначность интерпретации в условиях случайных или преднамеренных воздействий.

Для целей настоящего документа применяются следующие обозначения и сокращения:

ИБ

– информационная безопасность;

ИТ

– информационная технология;

ЛВС

– локальная вычислительная сеть;

ЛПА

– локальный правовой акт;

ПО

– программное обеспечение;

Приказ

ОАЦ № 66

– Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449»;

ПЭВМ

– персональная электронная вычислительная машина;

САЗ

– средство антивирусной защиты;

СЗИ

– система защиты информации;

СКЗИ

– средства криптографической защиты информации;

ТР 2013/027/BY

– Технический регламент Республики Беларусь ТР2013/027/BY «Информационные технологии. Средства защиты информации. Информационная безопасность».

ГЛАВА 2

ЦЕЛИ И ПРИЧИНЫ ЗАЩИТЫ ИНФОРМАЦИИ

 

9. Целями и причинами защиты информации являются:

9.1. выполнение требований законодательства Республики Беларусь в области защиты информации;

9.2. обеспечение защиты информации (конфиденциальность, целостность, доступность, сохранность), распространение и (или) предоставление которой ограничено, в информационных системах, эксплуатируемых Учреждением;

9.3. обеспечение непрерывности функционирования прикладного и системного программного обеспечения, технических средств и ресурсов, обеспечивающих работоспособность информационных систем Учреждения, в которых обрабатывается информация, распространения и (или) предоставление которой ограничено;

9.4. организация информационной безопасности с соблюдением прав субъектов информационных отношений, вовлеченных в процессы.

10. Обеспечение достижения целей защиты информации поставленных Учреждением строится на основе следующих принципов:

10.1. принцип невозможности миновать защитные средства. Все информационные потоки в защищаемую сеть и из нее должны проходить через СЗИ. При записи конфиденциальной информации на носители (тома, распечатки) и в файлы, ее передаче программам и процессам, не предназначенным для обработки информации ограниченного распространения, а также передаче информации ограниченного распространения по незащищенным каналам и линиям связи необходимо осуществлять соответствующее разграничение потоков информации. Для проведения такого разграничения все ресурсы, содержащие конфиденциальную информацию (сети ЭВМ, ЭВМ, внешние устройства, тома, файлы, разделы ОП и т.п.), должны иметь соответствующие метки, отражающие уровень конфиденциальности, содержащейся в них информации;

10.2. недопустимость перехода в открытое состояние. При любых обстоятельствах (в том числе нештатных), СЗИ должна либо полностью выполнять свои функции, либо блокировать доступ. Должен осуществляться менеджмент инцидентов информационной безопасности;

10.3. принцип минимизации привилегий. Субъекты должны иметь только те права доступа, которые необходимы им для выполнения служебных обязанностей;

10.4. принцип разделения обязанностей. Должно быть обеспечено распределение ролей и ответственности, при котором ни один сотрудник Учреждения не может нарушить критически важный для Учреждения процесс;

10.5. принцип многоуровневой защиты. За средствами физической защиты должны следовать программно-технические средства. Должна обеспечиваться идентификация и аутентификация пользователей, управление доступом, протоколирование и аудит событий безопасности;

10.6. принцип разнообразия защитных средств. В отношении потенциального злоумышленника потребуется овладение разнообразными и, по возможности, несовместимыми между собой навыками преодоления системы защиты информации. Используемые средства защиты информации должны иметь сертификат соответствия ТР 2013/027/BY, выданный в Национальной системе подтверждения соответствия Республики Беларусь;

10.7. принцип простоты и управляемости информационной системы. Должна обеспечиваться согласованность конфигурации разных компонентов и централизованное администрирование. На систему защиты информации должна быть разработана документация;

10.8. принцип всеобщей поддержки мер безопасности. Должен быть предусмотрен комплекс организационных мер, направленных на обеспечение осведомленности персонала Учреждения в области информационной безопасности, на постоянное обучение, теоретическое и практическое;

10.9. принцип персональной ответственности. Ответственность за обеспечение безопасности информации и системы ее обработки должна быть возложена на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников должно строиться таким образом, чтобы круг ответственных за обеспечение безопасности информации был четко определен или сведен к минимуму. Наличие должностных лиц, ответственных за информационную безопасность в Учреждении, а также сотрудников, осуществляющих практическую работу по обеспечению защиты информации, может быть определено штатной структурой Учреждения, приказами и должностными инструкциями.

11. Основные меры защиты информации в Учреждении:

11.1. правовые меры: исполнение требований НПА Республики Беларусь;

11.2. организационные меры: регламентация обеспечения особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), регламентация разграничения доступа к информации по кругу лиц и характеру информации, а также определение технологических процедур администрирования;

11.3. технические и программно-аппаратные меры: использование технических средств защиты информации;

11.4. программные меры: использование функциональных возможностей по защите информации, реализованных в ПО;

11.5. физические и инженерно-технические меры: использование средств воспрепятствования несанкционированному физическому доступу к информации, ее носителям и средствам защиты.


ГЛАВА 3

ОБЛАСТЬ ПРИМЕНЕНИЯ НАСТОЯЩЕЙ ПОЛИТИКИ

12. Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации Учреждения. Соблюдение настоящей Политики обязательно для всех работников (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации Учреждения, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей Политики.

13. Учреждению принадлежит на праве собственности (в т.ч. на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления ею деятельности в соответствии с действующим законодательством. Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования Учреждения, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала Учреждения.

ГЛАВА 4

ДОСТУП ТРЕТЬИХ ЛИЦ К ИНФОРМАЦИОННЫМ СИСТЕМАМ УЧРЕЖДЕНИЯ

14. Каждый работник обязан немедленно уведомить руководителя обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.

15. Доступ третьих лиц к информационным системам Учреждения должен быть обусловлен производственной необходимостью. В связи с этим порядок доступа к информационным ресурсам Учреждения должен быть четко определен, контролируем и защищен.

ГЛАВА 5

ДОСТУП К СЕТИ ИНТЕРНЕТ

16. Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.

17. Рекомендованные правила:

17.1. работникам Учреждения разрешается использовать сеть Интернет только в служебных целях;

17.2. запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия/превосходства полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;

17.3. работа работников Учреждения с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации Учреждения в сеть Интернет;

17.4. работники Учреждения перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;

17.5. запрещен доступ в Интернет через сеть Учреждения для всех лиц, не являющихся работниками Учреждения, включая членов семьи работников Учреждения.

ГЛАВА 6

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

18. Все программное обеспечение, установленное на предоставленном Учреждением компьютерном оборудовании, является собственностью Учреждения и должно использоваться исключительно в производственных целях.

19. Работникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено непосредственному руководителю.

20. На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации:

20.1. персональный межсетевой экран;

20.2. антивирусное программное обеспечение;

20.3. программное обеспечение шифрования жестких дисков;

20.4. программное обеспечение шифрования почтовых сообщений.

21. Все компьютеры, подключенные к сети Учреждения, должны быть оснащены системой антивирусной защиты.

22. Работники Учреждения не должны:

22.1. блокировать антивирусное программное обеспечение;

22.2. устанавливать другое антивирусное программное обеспечение;

22.3. изменять настройки и конфигурацию антивирусного программного обеспечения.


ГЛАВА 7

РЕКОМЕНДУЕМЫЕ ПРАВИЛА ПОЛЬЗОВАНИЯ

ЭЛЕКТРОННОЙ ПОЧТОЙ

23. Использование электронной почты в личных целях допускается в случаях, когда получение/отправка сообщения не мешает работе других пользователей и не препятствует деятельности Учреждения.

24. Работникам Учреждения запрещается использовать личные почтовые ящики электронной почты для осуществления деятельности Учреждения.

25. Работники Учреждения для обмена документами должны использовать только официальный адрес электронной почты Учреждения.

26. Сообщения, пересылаемые по электронной почте, имеют тот же статус, что письма и факсимильные сообщения. Электронные сообщения подлежат такому же утверждению и хранению, что и прочие средства письменных коммуникаций.

27. В целях предотвращения ошибок при отправке сообщений пользователи перед отправкой должны внимательно проверить правильность написания имен и адресов получателей. В случае получения сообщения лицом, вниманию которого это сообщение не предназначается, такое сообщение необходимо переправить непосредственному получателю.

28. Ниже перечислены недопустимые действия и случаи использования электронной почты:

28.1. рассылка сообщений личного характера, использующих значительные ресурсы электронной почты;

28.2. рассылка рекламных материалов, не связанных с деятельностью Учреждения;

28.3. подписка на рассылку, участие в дискуссиях и подобные услуги, использующие значительные ресурсы электронной почты в личных целях;

28.4. поиск и чтение сообщений, направленных другим лицам (независимо от способа их хранения);

28.5. пересылка любых материалов, как сообщений, так и приложений, содержание которых является противозаконным, непристойным, злонамеренным, оскорбительным, угрожающим, клеветническим, злобным или способствует поведению, которое может рассматриваться как уголовное преступление или административный проступок либо приводит к возникновению гражданско-правовой ответственности, беспорядков или противоречит стандартам Учреждения в области этики.

ГЛАВА 8

УПРАВЛЕНИЕ СЕТЬЮ

29. Уполномоченные работники по защите информации контролируют содержание всех потоков данных, проходящих через сеть Учреждения.

30. Работникам Учреждения запрещается:

30.1. нарушать информационную безопасность и работу сети Учреждения;

30.2. сканировать систему безопасности;

30.3. контролировать работу сети с перехватом данных;

30.4. использовать любые программы, команды или передавать сообщения с целью вмешаться в работу или отключить пользователя устройства;

30.5. передавать информацию о сотрудниках или списки сотрудников Учреждения посторонним лицам;

30.6. создавать, обновлять или распространять компьютерные вирусы и прочее разрушительное программное обеспечение.

ГЛАВА 9

РАБОТА С КРИПТОГРАФИЧЕСКИМИ СИСТЕМАМИ

31. К работе с криптографическими системами допускаются только сотрудники Учреждения, имеющие соответствующее разрешение от директора Учреждения.

32. Секретные ключи электронно-цифровых подписей и шифрования должны храниться в сейфах под ответственностью уполномоченных лиц. Доступ неуполномоченных лиц к носителям секретных ключей и шифрования должен быть исключен.

33. Категорически запрещается:

33.1. выводить секретные ключи и шифрования на дисплей компьютера или принтер;

33.2. устанавливать в дисковод компьютера носитель секретных ключей и шифрования в непредусмотренных режимах функционирования;

33.3. записывать на носитель секретных ключей и шифрования постороннюю информацию.

34. При компрометации секретных ключей, шифрования и прочей электронной информации Учреждением принимаются меры для прекращения любых операций с использованием этих ключей и прочей информации; принимаются меры для смены ключей и шифрования, паролей. По факту компрометации организуется служебное расследование, результаты которого отражаются в акте и доводятся до сведения директора Учреждения.

ГЛАВА 10

ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ

35. Субъект имеет право:

35.1.  использовать информационные и технические ресурсы при исполнении своих должностных обязанностей;

35.2.  осуществлять подключение и использовать ресурсы в соответствии с предоставленными ему правами;

35.3.  руководствоваться Политикой информационной безопасности и иными ЛПА при работе с информационной системой;

35.4.  в части своих компетенций вносить предложения по возможному развитию и модернизации.

36. Субъект обязан:

36.1. знать и применять в соответствии со своими должностными обязанностями принципы защиты информации;

36.2. предпринимать меры ограничения физического доступа к объектам информационной системы, на которых выполняется обработка информации ограниченного распространения, средствам защиты и информации и объектам, на которых выполняется администрирование информационной системы и средств защиты информации;

36.3. использовать только свой идентификатор и пароль для доступа к ресурсам, если иное не регулируется ЛПА;

36.4. формировать пароль для доступа к ресурсам в соответствии с требованиями ЛПА;

36.5. исключать возможность ознакомления с персональным паролем посторонних лиц в соответствии с требованиями ЛПА;

36.6. соблюдать правила «чистого стола» и «чистого экрана», предусматривающие хранение на рабочем столе минимально необходимых документов в виде «твердой копии» (бумажного документа) в целях уменьшения риска несанкционированного доступа, потери и повреждения в рабочее и нерабочее время.

37. Субъект несет ответственность:

37.1. за распространение и (или) предоставление информации, обрабатываемой в Учреждении субъектам, не имеющим права доступа;

37.2. за нарушение порядка доступа к информации, обрабатываемой в Учреждении;

37.3. за непринятие соответствующих мер по защите информации;

37.4. за невыполнение установленных правил, требований Политики Учреждения и иных ЛПА.

ГЛАВА 11

КОНТРОЛЬ СОБЛЮДЕНИЯ ТРЕБОВАНИЙ ПОЛИТИКИ

38. Общий контроль состояния информационной безопасности Учреждения осуществляется руководителем Учреждения и лицом, в обязанности которого входит выполнение работ по обеспечению информационной безопасности.

39. Контроль соблюдения настоящей Политики осуществляет руководитель Учреждения либо лицо, назначенное руководителем учреждения. Контроль осуществляется путем проведения мониторинга и менеджмента инцидентов информационной безопасности Учреждения, по результатам оценки информационной безопасности, а также в рамках иных контрольных мероприятий.