КубГТУ Официально Политика в области информационной безопасности

Политика в области информационной безопасности

Утверждена
приказом ФГБОУ ВО «КубГТУ»
от 22.12.2017 № 300 «С»

1. Общие положения

Информация является ценным и жизненно важным ресурсом Федерального государственного бюджетного образовательного учреждения высшего образования «Кубанский государственный технологический университет» (далее — Университет).

Политика Университета в области информационной безопасности (далее -Политика) предусматривает принятие необходимых мер в целях защиты ресурсов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных в Университете.

Информация существует в различных формах: на бумажном носителе, в электронном виде при хранении на носителе, передается по почте или с использованием электронных устройств, передаваться устно в процессе общения. Информация должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.

Информационная безопасность — это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риски и обеспечить возможности служебной деятельности.

Главные цели Университета не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.

Ответственность за соблюдение информационной безопасности несет каждый сотрудник Университета. На лиц, работающих в Университете по договорам гражданско-правового характера, в том числе прикомандированных, положения настоящей Политики распространяются в случае, если это обусловлено в таком договоре.

2. Цель и назначение настоящей Политики

Целью Политики является создание условий, позволяющих предотвратить или минимизировать ущерб, который может быть нанесен в результате несанкционированного доступа, хищения служебной информации или нанесения ущерба техническим средствам обработки, хранения и передачи защищаемой информации.

Под защитой информационных ресурсов следует понимать:

  • сохранение конфиденциальности информационных ресурсов;
  • обеспечение непрерывности доступа к информационным ресурсам Университета в сферах его деятельности;
  • защита целостности служебной информации с целью поддержания возможности Университета по оказанию услуг высокого качества и принятию эффективных управленческих решений;
  • повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами Университета;
  • определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности в Университете.

Руководители структурных подразделений Университета должны обеспечить регулярный контроль за соблюдением положений настоящей Политики, организовать периодические проверки соблюдения информационной безопасности с последующим представлением ежегодного отчета по результатам указанной проверки Руководству.

3. Область применения Политики

3.1. Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации Университета. Соблюдение настоящей Политики обязательно для всех сотрудников (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации Университета, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей Политики.

Данная политика применяется ко всем сотрудникам Университета.

3.2. Университету принадлежит на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления его деятельности в соответствии с действующим законодательством. Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования Университета, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала Университета.

4. Требования Политики

4.1. Требования Политики направлены на предотвращение несанкционированного доступа к информационной инфраструктуре Университета.

4.2. Ответственность за информационные ресурсы

В отношении всех собственных информационных ресурсов Университета, используемых для получения доступа к инфраструктуре Университета, должна быть определена ответственность соответствующего сотрудника Университета.

Информация о смене владельцев информационных ресурсов, их распределении, изменениях в конфигурации и использовании за пределами Университета должна доводиться до сведения руководителя управления информатизации (далее — УИ).

4.3. Контроль доступа к информационным системам

4.3.1 Все работы в Университете выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в Университете.

4.3.2. Использование в служебных целях личных портативных компьютеров и внешних носителей информации не допускается.

4.3.3. Руководители подразделений должны периодически пересматривать права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.

В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля.

Пользователи должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим.

В процессе своей работы сотрудники обязаны постоянно использовать режим «Чистого стола (экранной заставки)» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут.

4.3.5. Доступ третьих лиц к системам Университета

Каждый сотрудник обязан немедленно уведомить руководителя УИ обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.

Доступ третьих лиц к информационным системам Университета должен быть обусловлен производственной необходимостью. В связи с этим, порядок доступа к информационным ресурсам Университета должен быть четко определен, контролируем и защищен.

4.3.6. Удаленный доступ

Право удаленного доступа к информационным ресурсам Университета может быть предоставлено только сотрудникам территориально удаленных структурных подразделений и не имеющих прямых физических телекоммуникационных каналов связи компьютерной сети университета и исключительно со стационарных компьютеров, принадлежащих Университету.

4.3.7. Доступ к сети Интернет

Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности. Сотрудникам Университета:

  • разрешается использовать сеть Интернет только в служебных целях;
  • запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия/превосходства полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;
  • запрещается использовать сеть Интернет, в том числе облачные хранилища, не принадлежащие Университету, для хранения корпоративных данных;
  • допускается работа с Интернет-ресурсами, исключающими возможность передачи информации Университета в сеть Интернет;
  • сотрудникам Университета, имеющим личные учетные записи, предоставленные публичными провайдерами, не разрешается пользоваться ими на оборудовании, принадлежащем Университету;
  • необходимо перед открытием или распространением файлов, полученных через сеть Интернет, проверить их на наличие вирусов;
  • запрещен доступ в Интернет через сеть Университета для всех лиц, не являющихся сотрудниками Университета.

Специалисты УИ имеют право контролировать содержание всего потока информации, проходящей через канал связи к сети Интернет в обоих направлениях.

4.3.8. Защита оборудования

Сотрудники Университета должны обеспечивать физическую безопасность оборудования, на котором хранятся информация Университета.

Сотрудникам запрещено самостоятельно изменять конфигурацию аппаратного и программного обеспечения. Все изменения могут производиться исключительно специалистами УИ.

4.3.9. Аппаратное обеспечение

Все компьютерное оборудование (серверы, стационарные и портативные компьютеры), периферийное оборудование (принтеры, сканеры, МФУ), аксессуары (манипуляторы типа «мышь», шаровые манипуляторы, дисководы для оптических дисков), коммуникационное оборудование (сетевые адаптеры, коммутаторы, концентраторы, шлюзы), для целей настоящей Политики вместе именуются «компьютерное оборудование». Компьютерное оборудование, предоставленное Университетом, является его собственностью и предназначено для использования исключительно в производственных целях.

Пользователи портативных компьютеров, содержащих служебную информацию Университета, обязаны обеспечить их хранение в физически защищенных помещениях, запираемых ящиках рабочего стола, шкафах или обеспечить их защиту с помощью аналогичного по степени эффективности защитного устройства, в случаях, когда данный компьютер не используется.

Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и по месту проживания. В ситуациях, когда возрастает степень риска кражи портативных компьютеров, например, в гостиницах, аэропортах, в офисах деловых партнеров и т.д., пользователи обязаны ни при каких обстоятельств не оставлять их без присмотра.

Во время поездки в автомобиле портативный компьютер должен находиться в багажнике. На ночь его следует перенести из автомобиля в гостиничный номер.

Все компьютеры должны защищаться паролем при загрузке системы, активации по горячей клавише и после выхода из режима «Экранной заставки». Для установки режимов защиты пользователь должен обратиться в службу технической поддержки. Данные не должны быть скомпрометированы в случае халатности или небрежности приведшей к потере оборудования. Перед утилизацией все компоненты оборудования, в состав которых входят носители данных (включая жесткие диски), необходимо проверять, чтобы убедиться в отсутствии на них конфиденциальных данных и лицензионных продуктов. Должна выполняться процедура форматирования носителей информации, исключающая возможность восстановления данных.

При записи какой-либо информации на носитель для передачи его контрагентам или партнерам по бизнесу необходимо убедиться в том, что носитель чист, то есть не содержит никаких иных данных. Простое переформатирование носителя не дает гарантии полного удаления записанной на нем информации.

Карманные персональные компьютеры, а также мобильные телефоны, имеющие функцию электронной почты, и прочие переносные устройства не относятся к числу устройств, имеющих надежные механизмы защиты данных. В подобном устройстве не рекомендуется хранить конфиденциальную информацию.

Подключение портативных компьютеров к корпоративной сети Университета допускается в исключительных случаях и с ведома начальника УИ.

4.3.10. Программное обеспечение

Все программное обеспечение, установленное на предоставленном Университетом компьютерном оборудовании, является собственностью Университета и должно использоваться исключительно в производственных целях.

Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено неразрешенное к установке программное обеспечение, оно должно быть удалено, а сообщение о нарушении должно быть направлено непосредственному руководителю сотрудника и в УИ.

На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации:

  • персональный межсетевой экран;
  • антивирусное программное обеспечение;

Все компьютеры, подключенные к корпоративной сети, должны быть оснащены системой антивирусной защиты, утвержденной руководителем УИ. Сотрудники Университета не должны: -блокировать антивирусное программное обеспечение; -устанавливать другое антивирусное программное обеспечение;

  • изменять настройки и конфигурацию антивирусного программного обеспечения.

4.4. Правила пользования электронной почтой

Электронные сообщения (удаленные или не удаленные) могут быть доступны или получены государственными органами, иными организациями для их использования в качестве доказательств в процессе судебного разбирательства, финансовых или договорных обязательств. Поэтому содержание электронных сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.

Использование электронной почты в личных целях допускается в случаях, когда получение/отправка сообщения не мешает работе других пользователей и не препятствует деятельности Университета.

Сотрудникам запрещается направлять партнерам конфиденциальную информацию Университета по электронной почте без использования систем шифрования. Секретная информация Университета, ни при каких обстоятельствах, не подлежит пересылке третьим лицам по электронной почте.

Сотрудникам Университета запрещается использовать публичные почтовые ящики электронной почты для осуществления какого-либо из видов корпоративной деятельности.

Использование сотрудниками Университета публичных почтовых ящиков электронной почты осуществляется только при согласовании со службой информационной безопасности при условии применения механизмов шифрования.

Сотрудники Университет для обмена документами с бизнес партнерами должны использовать только свой официальный адрес корпоративной электронной почты.

Сообщения, пересылаемые по электронной почте, представляют собой постоянно используемый инструмент для электронных коммуникаций, имеющих тот же статус, что и письма и факсимильные сообщения. Электронные сообщения подлежат такому же утверждению и хранению, что и прочие средства письменных коммуникаций.

В целях предотвращения ошибок при отправке сообщений пользователи перед отправкой должны внимательно проверить правильность написания имен и адресов получателей. В случае получения сообщения лицом, вниманию которого это сообщение не предназначается, такое сообщение необходимо переправить непосредственному получателю. Если полученная таким образом информация носит конфиденциальный характер, об этом следует незамедлительно проинформировать специалистов УИ.

Отправитель электронного сообщения, документа или лицо, которое его переадресовывает, должен указать свое имя и фамилию, служебный адрес и тему сообщения.

Недопустимые следующие действия и случаи использования электронной почты:

  • рассылка сообщений личного характера, использующих значительные ресурсы электронной почты;
  • групповая рассылка всем пользователям Университета сообщений/писем;
  • рассылка рекламных материалов, не связанных с деятельностью Университета;
  • подписка на рассылку, участие в дискуссиях и подобные услуги, использующие значительные ресурсы электронной почты в личных целях;
  • поиск и чтение сообщений, направленных другим лицам (независимо от способа их хранения);
  • пересылка любых материалов, как сообщений, так и приложений, содержание которых является противозаконным, непристойным, злонамеренным, оскорбительным, угрожающим, клеветническим или способствует действию, которое может рассматриваться как уголовное преступление или административный проступок либо приводит к возникновению гражданско-правовой ответственности, беспорядков или противоречит корпоративным стандартам в области этики.

Ко всем исходящим сообщениям, направляемым внешним пользователям, пользователь может добавлять уведомление о конфиденциальности.

Вложения, отправляемые вместе с сообщениями, следует использовать с должной осторожностью. Во вложениях всегда должна указываться дата их подготовки, и они должны оформляться в соответствии с установленными в Университете процедурами документооборота.

Пересылка значительных объемов данных в одном сообщении может отрицательно повлиять на общий уровень доступности сетевой инфраструктуры Компании для других пользователей. Объем вложений не должен превышать 10 Мбайт.

4.5. Сообщение об инцидентах информационной безопасности, реагирование и отчетность

Все пользователи должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности, а также должны быть проинформированы о том, что ни при каких обстоятельствах они не должны пытаться использовать ставшие им известными слабые стороны системы безопасности.

В случае кражи переносного компьютера следует незамедлительно сообщить об инциденте начальнику УИ.

Пользователи должны быть известны способы информирования об известных или предполагаемых случаях нарушения информационной безопасности с использованием телефонной связи, электронной почты и других методов. Необходимо обеспечить контроль и учет сообщений об инцидентах и принятие соответствующих мер.

Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан:

  • проинформировать специалистов УИ;
  • не пользоваться и не выключать зараженный компьютер.

4.6. Помещения с техническими средствами информационной безопасности Конфиденциальные встречи (совещания, заседания) должны проходить только в

защищенных техническими средствами информационной безопасности помещениях.

Перечень помещений с техническими средствами информационной безопасности утверждается Ректором Университета.

Участникам заседаний запрещается входить в помещения с записывающей аудио/видео аппаратурой, фотоаппаратами, радиотелефонами и мобильными телефонами без предварительного согласования с УИ.

Аудио/видео запись, фотографирование во время конфиденциальных заседаний может вести только сотрудник Университета, который отвечает за подготовку мероприятия, после получения письменного разрешения руководителя группы организации встречи.

Доступ участников конфиденциального заседания в помещение для его проведения осуществляется на основании утвержденного перечня, контроль за которым ведет лицо, отвечающее за организацию встречи.

4.7. Управление сетью

Уполномоченные сотрудники управления информатизации контролируют содержание всех потоков данных проходящих через сеть Университета. Сотрудникам Университета запрещается:

  • нарушать информационную безопасность и работу сети Университета;
  • сканировать порты или систему безопасности;
  • контролировать работу сети с перехватом данных;
  • получать доступ к компьютеру, сети или учетной записи в обход системы идентификации пользователя или безопасности;
  • использовать любые программы, скрипты, команды или передавать сообщения с целью вмешаться в работу или отключить пользователя оконечного устройства;
  • передавать информацию о сотрудниках или списки сотрудников Университета посторонним лицам;
  • создавать, обновлять или распространять компьютерные вирусы и прочие разрушительное программное обеспечение.

4.7.1. Защита и сохранность данных

Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на пользователях. Специалисты УИ обязаны оказывать пользователям содействие в проведении резервного копирования данных на соответствующие носители.

Ответственные сотрудники должны регулярно делать резервные копии всех основных служебных данных и программного обеспечения.

Только специалисты УИ на основании заявок руководителей подразделений могут создавать и удалять совместно используемые сетевые ресурсы и папки общего пользования, а также управлять полномочиями доступа к ним.

Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ.

Все заявки на проведение технического обслуживания компьютеров должны направляться в УИ.

4.8. Разработка систем и управление внесением изменений

Все операционные процедуры и процедуры внесения изменений в информационные системы и сервисы должны быть документированы, согласованны с руководителем управления информатизации.

5. Ответственность работников Университета

5.1. Работники Университета и сторонних организаций, допущенные к работе в информационной инфраструктуре Университета, отвечают за выполнение требований настоящей Политики и других локальных организационно-распорядительных документов Университета, регламентирующих правила обеспечения информационной безопасности.