Политика информационной безопасности (ИБ) Гостаможслужбы Украины
Политика ИБ Гостаможслужбы Украины является главным сводом правил, рекомендаций, положений, инструкций, актов и приказов Гостаможслужбы Украины, регламентирующих порядок соблюдения информационной безопасности при использовании и обработки средствами ЕАИС информации, нуждается в защите.
Политика информационной безопасности ГТСУ направлено:
- На обеспечение уровня информационной безопасности в ЕАИС Гостаможслужбы Украины, что соответствует нормативно-правовым актам в этой сфере;
- Обоснование целесообразности выбора мер защиты информации;
- Разработку регламента создание, приобретение, применение сертифицированных программно-аппаратных средств обеспечения технологических процессов Гостаможслужбы Украины;
- Обеспечение информационной безопасности в каждом из объектов информационной деятельности Гостаможслужбы Украины;
- Разработка планов реагирования и восстановления ситуаций для всех функциональных областей с целью обеспечения непрерывности работы;
- Обеспечение соответствия КСЗИ нормативно-правовым актам в сфере защиты информации, который должен быть принят и утвержден в установленном законодательством порядке.
Уровни информационной безопасности
К политике информационной безопасности высшего уровня принадлежат положения, касающиеся вопросов обеспечения защиты информации в ЕАИС Гостаможслужбы Украины в целом и решение вопросов, определяющих стратегические решения и направления развития информационной безопасности.
К среднему уровню политики информационной безопасности относят вопросы, определяющие общий порядок обращения с информационными, программными и техническими ресурсами и являются важными для различных автоматизированных систем, входящих в состав ЕАИС Гостаможслужбы Украины.
К низшему уровню политики информационной безопасности относятся задачи, касающиеся отдельных аспектов функционирования ЕАИС Гостаможслужбы Украины и определяют регламент работ с теми или иными функциональными сервисами ЕАИС Гостаможслужбы Украины.
Задачи, которые должны решаться для обеспечения информационной безопасностью ЕАИС Гостаможслужбы Украины
Целью административных задач обеспечения является достижение правильной и надежной работы информационных систем путем выполнения правил эксплуатации ЕАИС и возложение ответственности за их несоблюдение (при необходимости с использованием дополнительных мероприятий).
Требования к средствам управления информационной безопасности:
- Надежность средств управления безопасностью обеспечивается разделением ролей и обязанностей администраторов
- Наличие как минимум инспектора по защите информации, администратора базы данных, администратора автоматизированной информационной системы, пользователей;
- Контроль вопросов перераспределения и добавления должностных обязанностей, связанных с информационной безопасностью;
- Средства администрирования, относящихся к информационной безопасности, должны контролироваться на предмет их несанкционированного использования, модификации, уничтожения;
- В системе должны использоваться механизмы защиты при регистрации новых пользователей;
- Должен быть установлен предельный время пассивности пользователей, после которого они исключаются из числа легальных
- Пользователей;
- Системный администратор должен иметь возможность проводить аудит действий одного или выбранной группы пользователей;
- Средства проведения аудита должны быть защищены от несанкционированного использования, модификации, уничтожения;
- Должен существовать защитный механизм, обеспечивающий доступ только авторизованного персонала к выполнению функций администратора.
Аспекты, связанные с безопасностью, должны быть учтены на стадии набора персонала и включены в должностные инструкции и договоров и подлежать контролю в течение всего времени работы такого сотрудника. О нарушении режима информационной безопасности необходимо немедленно сообщать административными каналами. Все сотрудники должны быть ознакомлены с процедурой уведомления о различных типах инцидентов (нарушение безопасности, угроза безопасности или сбой).