Про затвердження Політики інформаційної безпеки у виконавчих органах Хмельницької міської ради

Про затвердження Політики інформаційної безпеки у виконавчих  органах Хмельницької міської ради

Розглянувши клопотання Хмельницького міського комунального підприємства «Хмельницькінфоцентр», з метою забезпечення належного рівня захисту інформаційних ресурсів, підвищення рівня інформаційної та кібербезпеки у виконавчих органах Хмельницької міської ради, відповідно до законів України «Про інформацію», «Про доступ до публічної інформації», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про захист персональних даних», «Про основні засади забезпечення кібербезпеки України», керуючись Законом України «Про місцеве самоврядування в Україні», виконавчий комітет міської ради

ВИРІШИВ:

1. Затвердити Політику інформаційної безпеки у виконавчих органах Хмельницької міської ради згідно з додатком.

2. Керівникам виконавчих органів Хмельницької міської ради забезпечити:

2.1.дотримання вимог Політики інформаційної безпеки у виконавчих органах Хмельницької міської ради;

2.2. регулярне навчання працівників з питань інформаційної та кібербезпеки;

2.3.впровадження організаційних та технічних заходів захисту інформації відповідно до вимог законодавства.

3. Визначити Хмельницьке міське комунальне підприємство «Хмельницькінфоцентр» відповідальним за координацію реалізації Політики інформаційної безпеки у виконавчих органах Хмельницької міської ради.

4. Контроль за виконанням рішення виконавчого комітету покласти на заступника міського голови М. Ваврищука. 

Міський голова   Олександр СИМЧИШИН

Додаток

до рішення виконавчого комітету 

від «___»______________ № _____

Політика інформаційної безпеки

у виконавчих органах Хмельницької міської ради

1. 1. Загальні положення

1.1. Політика інформаційної безпеки у виконавчих органах Хмельницької міської ради (далі – Політика) визначає принципи, правила та вимоги щодо забезпечення захисту інформації, інформаційних ресурсів, інформаційно‑комунікаційних систем та цифрових сервісів виконавчих органів Хмельницької міської ради (далі - виконавчих органів). 

1.2. Політика інформаційної безпеки розроблена відповідно до законодавства України у сфері захисту інформації, кібербезпеки та захисту персональних даних, з урахуванням міжнародних стандартів управління інформаційною безпекою, а також рекомендацій суб’єктів національної системи кібербезпеки України.

1.3. Політика є базовим документом системи управління інформаційною безпекою у виконавчих органах.

1.4. Дія Політики поширюється на посадових осіб виконавчих органів, працівників комунальних підприємств, установ та організацій, а також підрядників, які мають доступ до інформаційних ресурсів виконавчих органів.

1.5. Політика є обов’язковою для виконання всіма працівниками незалежно від займаної посади та виду трудових відносин.

1.6. Політика розроблена відповідно до законів України «Про інформацію», «Про доступ до публічної інформації», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про захист персональних даних», «Про основні засади забезпечення кібербезпеки України», інших нормативно-правових актів у сфері захисту інформації. 

1.7. Відповідальним за координацію Політики у виконавчих органах є Хмельницьке міське комунальне підприємство «Хмельницькінфоцентр» (далі - відповідальний за координацію Політики) з правом ініціювання перевірок, надання обов’язкових до розгляду рекомендацій та координації дій під час інцидентів.

1.8. Положення Політики застосовуються разом із нормативними документами міської ради та її виконавчих органів.

2. 2. Терміни та визначення

У цій Політиці терміни вживаються у такому значенні:

Актив – будь-який ресурс, що має цінність для міської ради, її виконавчих органів та потребує захисту (інформаційні ресурси, програмне та апаратне забезпечення, інфраструктура, сервіси, технології, фінансові та організаційні ресурси, нематеріальні активи).

Власник активу – відповідальна посадова особа або виконавчий орган, у розпорядженні чи користуванні якого перебуває відповідний актив.

Доступність – властивість інформації бути доступною для уповноваженого користувача або процесу у необхідний момент часу.

Загроза – потенційна можливість завдання шкоди інформаційній системі шляхом використання її вразливостей.

Інформаційна безпека – стан захищеності інформаційних активів від загроз, що можуть призвести до порушення конфіденційності, цілісності або доступності інформації.

Інформаційно-комунікаційна система (ІКС) – сукупність програмного забезпечення, технічних засобів, мережевого та комунікаційного обладнання, що забезпечують обробку та передачу інформації.

Ризик – імовірність реалізації загрози з урахуванням її потенційного впливу на діяльність виконавчого органу.

3.  

   1. 3. Мета та завдання політики

3.1. Метою Політики є створення єдиної системи управління інформаційною безпекою у виконавчих органах.

3.2. Основними завданнями Політики є:

• запобігання несанкціонованому доступу до інформації;

• захист ІКС від кіберзагроз;

• забезпечення безперервності функціонування ІКС;

• мінімізація ризиків втрати або спотворення інформації;

• забезпечення належного рівня кібергігієни працівників.

4. 4. Основні принципи інформаційної безпеки

4.1. Конфіденційність – доступ до інформації мають лише уповноважені особи.

4.2. Цілісність – захист інформації від несанкціонованих змін.

4.3.Доступність – забезпечення доступу до інформації для уповноважених користувачів у необхідний час.

4.4.Законність – дотримання законодавства України у сфері інформаційної та кібербезпеки.

4.5.Персональна відповідальність – кожен працівник несе відповідальність за дотримання вимог інформаційної безпеки.

5. 5. Управління інформаційними активами

5.1. Інформаційні активи підлягають обліку, класифікації та захисту.

5.2. До інформаційних активів належать:

• інформаційні системи;

• бази даних;

• документи;

• програмне забезпечення;

• технічні засоби обробки інформації.

5.3. Для кожного інформаційного активу визначається власник активу, відповідальний за його захист.

6. 6. Управління доступом

6.1.Інформація, що обробляється у виконавчих органах міської ради, підлягає класифікації залежно від рівня її доступності  згідно додатку 1 до Політики.

6.2. Доступ до інформаційних ресурсів надається відповідно до службових обов’язків.

6.3. Впроваджується принцип мінімально необхідного доступу та системи обліку, моніторингу і аудиту дій користувачів в ІКС.

6.4. Робота працівників виконавчих органів на персональних комп'ютерах, у корпоративній мережі та мережі Інтернет визначається окремим порядком, загальні правила подано у додатку 2 до Політики.

6.5.Доступ працівника до інформаційних ресурсів припиняється у день припинення трудових відносин.

7. 7. Кіберзахист та технічні заходи

7.1. Впроваджується антивірусний захист та забезпечується регулярне оновлення програмного забезпечення.

7.2. Забезпечується захист мережевої інфраструктури шляхом використання міжмережевих екранів, систем виявлення вторгнень та інших засобів захисту. 

7.3. Реагування на інциденти інформаційної безпеки у виконавчих органах здійснюється відповідно до порядку, який подано у додатку 3 до Політики.

7.4. Здійснюється резервне копіювання інформації та розробляється план відновлення даних у разі збоїв або інцидентів.

7.5. Забезпечується захист мобільних пристроїв та дистанційного доступу до мережі виконавчих органів.

7.6. Застосовуються засоби криптографічного захисту інформації відповідно до вимог законодавства України.

8. 8. Управління інцидентами інформаційної безпеки

8.1. У разі виявлення інциденту інформаційної безпеки працівники зобов’язані негайно повідомити відповідальним за координацію Політики.

8.2. Представник відповідального за координацію Політики здійснює реєстрацію інциденту, аналіз причин та вживає заходів щодо усунення наслідків.

9. 9. Захист персональних даних

9.1. Обробка персональних даних здійснюється відповідно до законодавства України.

9.2. Забороняється передавати персональні дані третім особам без законних підстав.

10. 10. Навчання та підвищення обізнаності

10.1. Працівники проходять регулярне навчання з питань інформаційної безпеки.

10.2.Рекомендується проходження онлайн‑курсу «Кіберграм» на державному веб-порталі «Дія».

11. 11. Контроль та відповідальність

11.1. Контроль за виконанням Політики здійснюється керівниками виконавчих органів.

11.2. Відповідальним за координацію Політики забезпечується:

• проведення періодичних внутрішніх перевірок (аудитів) не рідше одного разу на рік;

• здійснення оцінки ризиків інформаційної безпеки;

• підготовка відповідної звітності.

 11.3. Працівники виконавчих органів несуть відповідальність за порушення вимог цієї Політики відповідно до законодавства України. 

ДОДАТОК 1

до Політики інформаційної безпеки
у виконавчих органах Хмельницької міської ради

КЛАСИФІКАЦІЯ ІНФОРМАЦІЇ

за рівнем доступу

1. Загальні положення

1.1. Інформація, що обробляється у виконавчих органах міської ради, підлягає класифікації залежно від рівня її доступності.

1.2. Метою класифікації є визначення рівня захисту інформації.

2. Рівні класифікації інформації

2.1. Відкрита інформація – це інформація, доступ до якої не обмежується законодавством. Приклади:

• публічна інформація;

• інформація, розміщена на офіційному веб-сайті;

• інформаційні матеріали для громадян.

2.2. Інформація з обмеженим доступом - інформація, доступ до якої обмежено відповідно до законодавства. До неї належать:

• таємна інформація (інформація, що становить службову таємницю);

• конфіденційна інформація (персональні дані);

• службова інформація (службові листи, записки, пояснювальні).

2.3. Критична інформація - інформація, втрата або компрометація якої може призвести до значних негативних наслідків для діяльності міської ради та її виконавчих органів. Наприклад:

• ключові інформаційні системи та реєстри;

• системи відеоспостереження;

• системи електронного документообігу.

3. Захист інформації

3.1. Для кожного рівня класифікації застосовуються відповідні заходи захисту.

3.2. Доступ до інформації надається лише працівникам виконавчих органів міської ради, яким це необхідно для виконання службових обов’язків.

ДОДАТОК 2

до Політики інформаційної безпеки
у виконавчих органах Хмельницької міської ради

ПРАВИЛА

використання службових комп’ютерів, електронної пошти та мережі Інтернет

1. Загальні положення

1.1. Ці Правила визначають загальні вимоги до використання працівниками службових комп’ютерів, електронної пошти та мережі Інтернет.

1.2. Метою Правил є забезпечення належного рівня інформаційної безпеки.

2. Використання службових комп’ютерів

Працівникам забороняється:

• встановлювати програмне забезпечення без дозволу адміністратора;

• змінювати налаштування безпеки комп’ютера;

• використовувати неліцензійне програмне забезпечення;

• підключати невідомі зовнішні носії інформації.

3. Використання електронної пошти

3.1. Службова електронна пошта використовується виключно для службових цілей.

3.2. Забороняється:

• відкривати підозрілі вкладення;

• переходити за невідомими посиланнями;

• передавати службову інформацію стороннім особам без дозволу.

4. Використання мережі Інтернет

4.1. Інтернет використовується для виконання службових обов’язків.

4.2. Забороняється:

• відвідувати ресурси з потенційно небезпечним вмістом;

• завантажувати програмне забезпечення без дозволу;

• використовувати мережу для неслужбових цілей, що можуть загрожувати інформаційній безпеці.

5. Парольна політика

5.1 Працівники зобов’язані:

• використовувати складні паролі;

• не передавати паролі іншим особам;

• регулярно змінювати паролі;

• блокувати комп’ютер при залишенні робочого місця.

ДОДАТОК 3

до Політики інформаційної безпеки
у виконавчих органах Хмельницької міської ради

Порядок реагування на інциденти інформаційної безпеки

1. Загальні положення

1.1. Цей Порядок визначає механізм виявлення, реєстрації, аналізу та реагування на інциденти інформаційної безпеки у виконавчих органах Хмельницької міської ради.

1.2. Метою Порядку є:

• своєчасне виявлення інцидентів інформаційної безпеки;

• мінімізація негативних наслідків;

• забезпечення безперервності роботи інформаційних систем.

1.3. Дія цього Порядку поширюється на всі інформаційні ресурси та інформаційно-комунікаційні системи виконавчих органів міської ради.

2. Види інцидентів інформаційної безпеки

До інцидентів інформаційної безпеки належать:

• несанкціонований доступ до інформаційних систем;

• спроби злому або підбору паролів;

• зараження комп’ютерів шкідливим програмним забезпеченням;

• витік або несанкціоноване поширення інформації;

• втрата або пошкодження інформаційних носіїв;

• відмова інформаційних систем або мережевого обладнання;

• фішингові атаки;

• інші події, що можуть призвести до порушення інформаційної безпеки.

3. Повідомлення про інцидент

3.1. Працівник, який виявив інцидент інформаційної безпеки, зобов’язаний негайно повідомити відповідальний підрозділ або системного адміністратора.

3.2. Повідомлення може здійснюватися:

• електронною поштою;

• службовою запискою;

• телефоном;

• через систему технічної підтримки (Service Desk).

3.3. У повідомленні зазначається:

• дата та час виявлення інциденту;

• опис події;

• інформаційна система або обладнання;

• можливі наслідки.

4. Реагування на інцидент

4.1. Відповідальний підрозділ:

• реєструє інцидент;

• проводить первинний аналіз;

• визначає рівень критичності.

4.2. У разі потреби здійснюється:

• ізоляція ураженої системи;

• блокування доступу;

• резервне відновлення даних;

• перевірка систем на наявність шкідливого програмного забезпечення.

4.3. За результатами реагування складається звіт про інцидент інформаційної безпеки.

5. Аналіз інцидентів

5.1. Після усунення інциденту проводиться аналіз причин його виникнення.

5.2. За результатами аналізу можуть бути впроваджені додаткові заходи безпеки.