Государственное бюджетное общеобразовательное учреждение
средняя общеобразовательная школа № 318
с углублённым изучением итальянского языка
Фрунзенского района Санкт-Петербурга

ПРИНЯТО

УТВЕРЖДАЮ

на Общем собрании работников
ГБОУ средней школы № 318
«02» ноября 2022 года
протокол № 2

Приказ по ГБОУ средней школе № 318
от «02» ноября 2022 года № 139
Директор _________________ И.А.Кахиани

СОГЛАСОВАНО
Председатель ПК
ГБОУ средней школы № 318
______________________О.Р. Иванова
«02» ноября 2022 года

Принято с учётом мнения
Совета родителей несовершеннолетних
ГБОУ средней школы № 318

Принято с учётом мнения
Совета обучающихся
ГБОУ средней школы № 318

ПОЛОЖЕНИЕ

Политика информационной безопасности ГБОУ средняя
школа № 318

Санкт-Петербург
2022

Оглавление
ОБЩИЕ ПОЛОЖЕНИЯ ............................................................................................................................. 3
ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ .............................. 3
ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ..................................................... 5
ОСНОВНЫЕ ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА ..... 6
ОСНОВНЫЕ ТРЕБОВАНИЯ К ПРОЦЕССАМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ......................................................................................................................................... 9
ОСНОВНЫЕ
ТРЕБОВАНИЯ
К
ПРОЦЕССАМ
УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ ................................................................................................................................. 13
ЗАКЛЮЧЕНИЕ ........................................................................................................................................ 14

2

ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Политика является документом, определяющим направления
деятельности в области обеспечения информационной безопасности и представляет собой
систематизированное изложение целей и задач информационной безопасности, как одно или
несколько правил, процедур, практических приемов и руководящих принципов, которыми
руководствуется ГБОУ средняя школа № 318, а также организационных, технологических и
процедурных аспектов обеспечения информационной безопасности.
Положения настоящей Политики не распространяются на обеспечение
информационной безопасности сведений, составляющих государственную тайну.
Основной задачей в области информационной безопасности ГБОУ средняя школа №
318 признает совершенствование мер и средств обеспечения защиты информации
информационных ресурсов ГБОУ средняя школа № 318 в контексте развития
законодательства Российской Федерации и норм регулирования информационной
деятельности в текущих условиях функционирования информационного поля.
При разработке Политики учитывались основные принципы создания систем
защиты информации, характеристики и возможности организационно-технических мер и
современных программных и аппаратно-программных средств защиты информации.
В рамках своей деятельности ГБОУ средняя школа № 318 обязуется предпринимать
все возможные меры для защиты информации от угроз безопасности информации.
Требования информационной безопасности, соответствуют целям деятельности
ГБОУ средняя школа № 318 и предназначены для снижения рисков, связанных с
реализацией угроз безопасности информации.
ЦЕЛИ
И
ЗАДАЧИ
ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Субъекты информационных отношений
Субъектами при обеспечении информационной безопасности в ГБОУ средняя школа № 318
являются:
работники;
граждане, работающие по договорам гражданско-правового характера;
физические лица, представители контрагентов в рамках исполнения договорных
обязательств;
физические лица, подавшие обращение в адрес ГБОУ средняя школа № 318;
юридические лица, в рамках исполнения договорных обязательств или во исполнении
требований со стороны законодательства Российской Федерации; органы государственной
власти.
Объекты информационных отношений
Объектами информационных отношений являются:
информационные ресурсы ГБОУ средняя школа № 318;
государственные информационные системы, оператором которых является ГБОУ
средняя школа № 318;
процессы обработки информации в информационных системах ГБОУ средняя
школа № 318, информационные технологии, регламенты и процедуры сбора, обработки,
хранения и передачи информации;
информационная инфраструктура, включающая системы обработки, хранения
и
анализа информации, программные и программно-аппаратные средства, в том числе каналы
связи и телекоммуникации;
системы и средства защиты информации, объекты и помещения, в которых
размещены средства обработки информации.
Цели обеспечения информационной безопасности
Основной целью обеспечения информационной безопасности ГБОУ средняя школа
№ 318 являются действия, направленные на достижение защиты субъектов

информационных отношений от возможного нанесения им материального, физического,
морального или иного ущерба, посредством случайного или преднамеренного воздействия
на информацию, в том числе:
обеспечения отказоустойчивого функционирования программных и аппаратнопрограммных средств ГБОУ средняя школа № 318 и предоставляемых сервисов;
соблюдения правового режима использования массивов и средств обработки
информации;
предотвращения реализации угроз безопасности информации при осуществлении
деятельности ГБОУ средняя школа № 318.
Задачи обеспечения информационной безопасности
Достижение целей обеспечения информационной безопасности и свойств
информации ГБОУ средняя школа № 318 решается следующими задачами:
защиты от несанкционированного доступа к информационным ресурсам;
разграничения доступа пользователей к информационным, аппаратным,
программным и иным ресурсам;
регистрации и периодического контроля действий пользователей при обработке
защищаемой информации и периодический контроль корректности их действий;
контроля целостности среды исполнения программ и ее восстановление в случае
нарушения обеспечения аутентификации и идентификации пользователей, участвующих в
информационном обмене;
обеспечения исправности применяемых в информационных системах ГБОУ средняя
школа № 318 средств защиты информации;
своевременного выявление источников угроз безопасности информации, причин и
условий,
способствующих
нанесению
ущерба
заинтересованным
субъектам
информационных отношений;
созданием условий для минимизации наносимого ущерба неправомерными
действиями, и устранение последствий нарушения информационной безопасности в ГБОУ
средняя школа № 318.
Решение вышеперечисленных задач в ГБОУ средняя школа № 318 осуществляется
посредством:
учета всех подлежащих защите информационных ресурсов;
регламентации процессов обработки информации, действий работников ГБОУ
средняя школа № 318, осуществляющих эксплуатацию программных и программноаппаратных средств, на основе утвержденных организационно-распорядительных
документов по защите информации;
назначения и подготовкой работников, ответственных за организацию и
осуществление мероприятий по обеспечению информационной безопасности в ГБОУ
средняя школа № 318;
наделения каждого работника минимально необходимыми правами при работе в
информационной инфраструктуре согласно их должностным обязанностям;
соблюдения всеми работниками, эксплуатирующими и обслуживающими
программные и программно-аппаратные средства, требований организационнораспорядительных документов по вопросам обеспечения информационной безопасности;
персональной ответственностью каждого работника за свои действия, участвующего
в рамках своих функциональных обязанностей в процессах автоматизированной обработки
информации и имеющего доступ к ресурсам информационных систем;
реализацией технологических процессов обработки информации с использованием
комплексов организационно-технических мер защиты программного обеспечения,
программно-аппаратных средств;

4

принятия мер по обеспечению физической целостности программно-аппаратных
средств информационных систем и поддержанием необходимого уровня защищенности
компонентов;
использования программных и программно-аппаратных средств защиты
информации обрабатываемом в ГБОУ средняя школа № 318 и административной
поддержкой их использования;
контроля соблюдения пользователями информационных систем требований по
обеспечению информационной безопасности;
проведения анализа эффективности принятых мер защиты информации и
применяемых средств защиты информации в ГБОУ средняя школа № 318;
разработки и реализации предложений по совершенствованию систем защиты
информации в ГБОУ средняя школа № 318.
ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Обеспечение информационной безопасности, должно осуществляться в
соответствии со следующими основными принципами:
Принцип законности
При выборе мероприятий по защите информации, должно соблюдаться
действующее законодательство Российской Федерации в сфере защиты информации.
Все работники должны иметь представление об ответственности за правонарушения
в сфере защиты информации. Программно-аппаратные средства, применяемые в ГБОУ
средняя школа № 318, должны иметь соответствующие лицензии, официально
приобретаться у представителей разработчиков этих средств или являться
интеллектуальной собственностью ГБОУ средняя школа № 318.
Принцип системности
При создании системы защиты должны учитываться актуальные угрозы
безопасности информации, возможные объекты и направления атак на нее со стороны
нарушителей. Система защиты должна строиться с учетом не только известных каналов
утечки информации, но и с учетом возможности появления новых уязвимостей в
программном обеспечении.
Принцип комплексности
Комплексное использование средств защиты информации предполагает
согласованное применение при построении целостной системы защиты, перекрывающей все
существенные угрозы безопасности информации. Защита должна строиться
эшелонировано. Физическая защита должна обеспечиваться физическими средствами и
организационными мерами.
При построении, внедрении и эксплуатации системы защиты информации
руководство ГБОУ средняя школа № 318 обеспечивает условия для эффективной
координации действий всех лиц, обеспечивающих информационную безопасность.
Принцип своевременности
Разработка системы защиты информации должна вестись параллельно с разработкой
и информационной системы. Это позволит учесть требования безопасности при
проектировании архитектуры и, в конечном счете, создать более эффективные информационные
системы, обладающие достаточным уровнем защищенности.
Принцип преемственности
Постоянное совершенствование мер и средств защиты информации на основе
преемственности организационных и технических решений, кадрового состава, анализа
функционирования информационных систем и системы ее защиты с учетом изменений в
методах и средствах перехвата информации, нормативных требований по защите
информации.
Принцип достаточности
5

Соответствие уровня затрат на обеспечение информационной безопасности и
ценности информационных ресурсов на величину возможного ущерба от их разглашения,
уничтожения и искажения. Используемые меры и средства защиты информации не должны
ухудшать эргономические показатели компонентов информационных систем.
Принцип ответственности
Возложение ответственности за обеспечение безопасности информации и ее
обработки на каждого работника в пределах его полномочий. В соответствии с этим
принципом распределение прав и обязанностей работников строится таким образом, чтобы
в случае любого нарушения был известен нарушитель.
Принцип обоснованности и технической реализуемости
Информационные технологии, программные и программно-аппаратные средства,
меры защиты информации должны быть реализованы по современным решениям,
обоснованы с точки зрения достижения заданного уровня защищенности информации и
экономической целесообразности, а также соответствовать установленным нормам и требованиям
по безопасности информации.
Принцип профессионализма
Реализация мер защиты информации и эксплуатация средств защиты информации
должна осуществляться профессиональными специалистами.
Привлечение специализированных организаций к разработке средств и реализации
мер защиты информации, подготовленных к конкретному виду деятельности по
обеспечению безопасности информационных ресурсов, имеющих опыт практической
работы и лицензии на право оказания услуг в этой области.
Принцип минимизации привилегий пользователей
Обеспечение пользователей привилегиями минимально достаточными для
выполнения ими своих должностных обязанностей в ГБОУ средняя школа № 318.
ОСНОВНЫЕ ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ
ОГРАНИЧЕННОГО ДОСТУПА
Система защиты информации должна предусматривать комплекс организационных,
программных и программно-аппаратных средств и мер по защите информации в процессе
ее обработки.
Выполнение требований достигается за счет реализации на объектах
информатизации мер по защите информации:
 идентификации и аутентификации субъектов доступа и объектов доступа;
 управлению доступом субъектов доступа к объектам доступа;
 ограничению программной среды;
 защите машинных носителей персональных данных;
 регистрации событий безопасности во встроенных журналах ПО;
 антивирусной защите;
 обнаружению вторжений;
 контролю (анализу) защищенности персональных данных;
 обеспечению целостности информационной системы и персональных
данных;
 обеспечению доступности персональных данных;
 защиты технических средств;
 защиты информационной системы, ее средств, систем связи и передачи
данных;
 выявлению инцидентов и реагирование на них;
 управлению конфигурацией информационной системы и системы защиты
персональных данных.
6

ГБОУ средняя школа № 318, как обладатель информации ограниченного доступа, при
осуществлении своих прав обязано:
соблюдать права и законные интересы иных лиц;
принимать необходимые меры по защите информации;
ограничивать доступ к информации, если такая обязанность установлена
законодательством Российской Федерации.
В том числе ГБОУ средняя школа № 318, вправе если иное не предусмотрено
законодательством Российской Федерации:
разрешать или ограничивать доступ к информации, определять порядок и условия
такого доступа;
использовать информацию, в том числе распространять ее, по своему усмотрению;
передавать информацию другим лицам на установленном законодательством
Российской Федерации основании;
защищать установленными законодательством Российской Федерации способами
свои права в случае незаконного получения информации, ее незаконного использования
иными лицами;
осуществлять иные действия с информацией или разрешать осуществление таких
действий, если эти действия не противоречат федеральным законам и другим нормативноправовым актам Российской Федерации.
Защита информации ограниченного доступа представляет собой принятие
организационных и технических мер, направленных на:
соблюдение конфиденциальности информации (исключение неправомерного
доступа, копирования, предоставления или распространения информации);
обеспечение целостности информации (исключение неправомерного уничтожения
или модифицирования информации);
реализацию права на доступ к информации (исключение неправомерного
блокирования информации).
Средства защиты информации внедряются по результатам проведения оценки
рисков информационной безопасности.
Организация защиты информации
При организации в ГБОУ средняя школа № 318 защиты информации, должны
выполняться требования Федерального закона от 27.07.2006 № 149-ФЗ «Об информации,
информационных технологиях и о защите информации», которые регулируют отношения,
связанные с установлением, изменением и прекращением режима обработки защищаемой
информации. В том числе требования о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных системах
утвержденные приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о
защите информации, не составляющей государственную тайну, содержащейся в
государственных информационных системах» для государственных информационных
систем по которым ГБОУ средняя школа № 318 является Оператором.
В ГБОУ средняя школа № 318 помимо реализации основных мер защиты информации
осуществляется
 регулярная оценка и управление рисками информационной безопасности в
соответствии с установленными процедурами в области управления рисками;
 информирование, обучение и повышение квалификации работников ГБОУ
средняя школа № 318 в сфере информационной безопасности;
 методическая помощь работникам в вопросах обеспечения информационной
безопасности;
 анализ и поиск возможностей по повышению уровня защищенности
информации.
7

Для организации защиты информации ГБОУ средняя школа № 318 вправе
применять средства и методы технической защиты, предпринимать другие, не
противоречащие законодательству Российской Федерации, меры.
Особенности защиты персональных данных
При обработке в ГБОУ средняя школа № 318 персональных данных необходимо
руководствоваться
требованиями
Федерального
закона от
27.07.2006 №
152-ФЗ «О персональных данных».
Перечень мер, выполнение которых обеспечивает ГБОУ средняя школа № 318 в
качестве оператора персональных данных, должен включать:
назначение в ГБОУ средняя школа № 318 ответственного за организацию обработки
персональных данных;
разработку документов, определяющих правила в отношении обработки
персональных данных в ГБОУ средняя школа № 318, локальных актов по вопросам
обработки персональных данных;
применение организационных и технических мер по обеспечению безопасности
персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 №
152-ФЗ «О персональных данных»;
выполнение требований по составу и содержанию организационных и технических
мер по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных утверждённых Приказом ФСТЭК России
от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных»;
оценку вреда, который может быть причинен субъектам персональных данных в
случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и
принимаемых оператором мер, направленных на обеспечение выполнения обязанностей,
предусмотренных Федеральным законом № 152-ФЗ;
ознакомление работников ГБОУ средняя школа № 318, непосредственно
осуществляющих обработку персональных данных, с
положениями
законодательства
Российской Федерации о персональных данных, в том числе требованиями к защите
персональных данных, документами, определяющими требования ГБОУ средняя школа №
318 в отношении обработки персональных данных и обучение, при необходимости,
указанных работников.
Обеспечение безопасности персональных данных достигается, в частности:
определением угроз и нарушителей безопасности персональных данных при их
обработке в информационных системах персональных данных;
определением уровня защищенности персональных данных в соответствии с
требованиями Постановления Правительства Российской Федерации от 01.11.2012 № 1119
«Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»;
оценкой эффективности принимаемых мер по защите персональных данных до
ввода в эксплуатацию информационной системы персональных данных;
восстановлением
персональных
данных,
вследствие
получения
несанкционированного доступа к ним;
установлением правил доступа к персональным данным, обрабатываемым в
информационных системах персональных данных, а также обеспечением регистрации и
учета всех действий, совершаемых с персональными данными в информационных системах
персональных данных;
контролем за принимаемыми мерами по защите персональных данных и
определенного уровня защищенности информационных системах персональных данных в
процессе ее эксплуатации.
8

ОСНОВНЫЕ ТРЕБОВАНИЯ К ПРОЦЕССАМ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Методическое руководство, разработку решений по защите информации,
согласование выбора средств вычислительной техники, программных и программноаппаратных средств защиты информации, организацию работ по выявлению возможностей
и предупреждению утечки и свойств защищаемой информации, аттестацию объектов
информатизации осуществляют компетентные структурные подразделения ГБОУ средняя
школа № 318.
Физическая безопасность
Принятые организационные и технические меры по защите помещений ГБОУ
средняя школа № 318, серверного и коммутационного оборудования, автоматизированных
рабочих мест пользователей информационных систем ГБОУ средняя школа № 318
обеспечивают реализацию следующих мер по:
разграничению доступа работников в помещения ГБОУ средняя школа № 318 в
соответствии с их полномочиями и должностными обязанностями;
контролируемому пребыванию работников и посторонних лиц в ГБОУ средняя
школа № 318 в помещения, в которых ведется обработка информации ограниченного
доступа и размещены аппаратные средства информационной системы;
организации режима контролируемого вноса/выноса средств обработки
информации.
Помещения ГБОУ средняя школа № 318 должны оборудованы детекторами огня и
дыма, огнетушителями, средствами охранно-пожарной сигнализации.
Основное серверное и коммутационное оборудование ГБОУ средняя школа № 318
должно быть защищено от перебоев в подаче электроэнергии путем подключения к
электросети с применением источников бесперебойного питания.
Портативные технические средства не должны оставаться за пределами
контролируемой зоны ГБОУ средняя школа № 318 без контроля со стороны работников
ГБОУ средняя школа № 318.
Безопасность на рабочем месте
Запрещается вести запись паролей в открытом виде на материальных носителя, за
исключением случаев, регламентированных методов хранения.
Документы и носители с информацией ограниченного доступа должны убираться в
опечатываемые места (сейфы, шкафы и т.п.), при уходе с рабочего места. На
автоматизированном рабочем месте Пользователя рабочая сессия должна быть прервана,
рабочий стол заблокирован. Вход пользователя в систему не должен выполняться
автоматически.
Документы, содержащие информацию ограниченного доступа, должны сразу
изыматься из печатающих устройств.
При использовании мобильных технических средств необходимо соблюдать
дополнительные меры по регламентации и контролю использования в информационной
системе мобильных технических средств.
Нахождение представителей юридических лиц в рамках исполнения договорных
обязательств в помещениях в которых ведется обработка информации ограниченного
доступа информационной системы, возможно только в сопровождении работника ГБОУ
средняя школа № 318, допущенного до обработки такой информации.
Размещение технических средств вывода информации в помещениях ГБОУ средняя
школа № 318 производится с учетом исключения возможности визуального просмотра
информации посторонними лицами и работниками, не допущенным к работе с данной
информацией.
9

Технические средства должны размещаться и храниться таким образом, чтобы
сократить возможный риск повреждения и угрозы несанкционированного доступа.
Техническое обслуживание оборудования
Технические средства ГБОУ средняя школа № 318 должны проходить на регулярной
основе сервисное обслуживание в соответствии с рекомендациями производителей
оборудования.
Ремонт и сервисное обслуживание оборудования должны выполняться только
квалифицированными специалистами.
Техническое обслуживание оборудования сторонними организациями не должно
приводить к риску нарушения конфиденциальности защищаемой информации.
Взаимодействие с третьими лицами
В целях обеспечения информационной безопасности ГБОУ средняя школа № 318 при
взаимодействии с третьими лицами должно выполнять следующие мероприятия по:
заключению соглашения о неразглашении информации ограниченного доступа
полученной в ходе исполнения договорных обязательств;
осуществлению контроля за действиями представителей контрагентов в пределах
контролируемой зоны ГБОУ средняя школа № 318.
Управление жизненным циклом информационных систем
Мероприятия в процессе жизненного цикла информационных систем ГБОУ средняя
школа № 318 должны быть направлены на обеспечение защиты информации при вводе в
действие, эксплуатации, сопровождении и модернизации, вывода из эксплуатации.
Основанием при разработке информационных систем должны являться решения
принятые на стадии формирования требований, содержащие требования в том числе по
системе защиты информации.
Любое планируемое к внедрению изменение информационной системы
предварительно должно быть проанализировано на совместимость и отсутствие нарушений
работоспособности системных компонентов в том числе средств защиты информации.
Работы по модернизации информационной системы, в том числе по установке
программного обеспечения и обновлений, должны проводиться в нерабочее время или время
наименьшей рабочей нагрузки.
При выводе из эксплуатации информационных систем должно обеспечиваться
гарантированное удаление обрабатываемой и хранимой в них информации с
использованием средств гарантированного уничтожения информации или путем
физического уничтожения носителей информации.
Все процедуры обеспечения защиты информации, установленные в ГБОУ средняя
школа № 318 в отношении информационных систем, должны выполняться и
контролироваться ответственными лицами за организацию работ по защите информации.
Контроль доступа к информационным системам
Все работники ГБОУ средняя школа № 318, допущенные к работе с
информационными системами несут персональную ответственность за нарушения
установленного порядка обработки информации.
Уровень полномочий пользователя в информационной системе ГБОУ средняя
школа № 318 должен определяться в соответствии с его должностными обязанностями.
Доступ пользователей к информационным системам ГБОУ средняя школа № 318
должен контролироваться администратором информационной системы.
Осуществление
регулярного
контроля
выполнения
организационнораспорядительных документов, касающихся регламентации допуска работников ГБОУ
средняя школа № 318 к информационным системам.
Идентификация и аутентификация
Доступ пользователей к информационным системам должен предоставляться только
после успешного завершения идентификации, аутентификации.
10

Получение пользователем имени в информационной системе и пароля, которые
обеспечивают доступ к информационной системе, должно осуществляться по
представлению руководителя структурного подразделения.
Управление доступом
В ГБОУ средняя школа № 318 должно осуществляться управление доступом к
информационной системе посредством реализации необходимых методов, типов и правил
разграничения доступа пользователям информационной системы ГБОУ средняя школа №
318. В том числе обеспечен защищенный удаленный доступ субъектов доступа к объектам
доступа через внешние информационно-телекоммуникационные сети.
Безопасность при работе с носителями информации
Работники ГБОУ средняя школа № 318 должны использовать только учтенные
съемные машинные носители информации для выполнения своих должностных
обязанностей. Использование съемных машинных носителей информации в ГБОУ средняя
школа № 318 в иных целях строго запрещено.
В случае кражи или потери съемного машинного носителя информации, а также
иных инцидентов, которые могут привести к нарушению свойств информации
ограниченного доступа, должны проводиться мероприятия по расследованию таких
инцидентов.
При выводе из эксплуатации съемного машинного носителя информации, все
данные, хранящиеся на нем, должны быть удалены определенной комиссией из числа
работников, средством гарантированного уничтожения информации.
Факт уничтожения информации на съемном машинном носителе информации
фиксируется в акте об уничтожении информации со съемного машинного носителя
информации.
Регистрация событий
В ГБОУ средняя школа № 318 должна осуществляться регистрации событий
безопасности средствами ПО на всех компонентах информационных систем ГБОУ средняя
школа № 318, в которых обрабатывается защищаемая информация.
Антивирусная защита
В целях обнаружения и устранения вредоносных программ в ГБОУ средняя школа
№ 318 должны использоваться средства антивирусной защиты информации.
Обязательному контролю средством антивирусной защиты информации должна
подлежать любая информация (текстовые файлы любых форматов, файлы данных,
исполняемые файлы), получаемая и передаваемая по локальной вычислительной сети в том
числе и сетям общего пользования, а также информация, хранимая на съемных машинных
носителях информации.
При установке программного обеспечения или его обновления на северное
оборудование должна автоматически выполняться предварительная проверка данного
программного обеспечения на отсутствие вредоносного программного обеспечения.
Обновление баз сигнатур для средства антивирусной защиты информации должны
происходить при выходе официального обновления.
Пользователи без прав администратора информационной системы ГБОУ средняя
школа № 318 не должны иметь возможность получения доступа к конфигурации
антивирусного средства защиты или его отключения.
Контроль защищенности персональных данных
В целях исключения эксплуатации уязвимостей программного обеспечения должны
проводится работы по выявлению, анализу уязвимостей информационной системы и
оперативное устранение вновь выявленных уязвимостей. В том числе организация
контроля установки обновления программного обеспечения включая средств защиты
информации.
Использование программного обеспечения
11

Выбор программного обеспечения для производственных нужд ГБОУ средняя
школа № 318 должен производиться в приоритете к отечественному, внесенного в Единый
реестр российских программ для электронных вычислительных машин и баз данных. В
случае отсутствия аналога в Едином реестре российских программ для электронных
вычислительных машин и баз данных допускается использовать программного
обеспечение импортного производства.
Использование средств криптографической защиты информации
Обеспечение защиты информации ограниченного доступа от раскрытия,
модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к
передаче) по каналам связи, имеющим выход за пределы контролируемой зоны
обеспечивается применением средств криптографической защиты информации.
Использование электронной почты
Электронная почта должна использоваться в ГБОУ средняя школа № 318 с целью
организации обмена электронными сообщениями между работниками и субъектами
информационной безопасности.
При использовании электронной почты запрещается:
обмен информацией для служебного пользования, а также информацией
ограниченного доступа;
предоставление доступа к электронной почте с использованием данных своей
учетной записи третьим лицам;
публикация своего служебного адреса электронной почты в электронных каталогах,
на поисковых машинах и других ресурсах сети Интернет в целях, не связанных с исполнением
своих должностных обязанностей;
подписка по электронной почте на различные рекламные материалы, листы
рассылки, электронные журналы и т.д., не связанные с выполнением пользователем
должностных обязанностей;
открытие (запуск на выполнение) файлов, полученных по электронной почте или из
ресурсов сети Интернет, без предварительной проверки их антивирусным программным
обеспечением.
Работа в сетях общего пользования
ГБОУ средняя школа № 318 оставляет за собой право блокировать или
ограничивать доступ работникам к сетям связи общего пользования, в том числе сети
Интернет, содержание которых не имеет отношения к исполнению должностных
обязанностей, а также к информационным ресурсам, содержание и направленность которых
запрещены законодательством Российской Федерации.
При использовании сети Интернет запрещено:
использовать предоставленный ГБОУ средняя школа № 318 доступ в сеть Интернет
в личных целях;
использовать несанкционированные программные и программно-аппаратные
средства, позволяющие получить несанкционированный доступ к сети Интернет;
публиковать, загружать и распространять материалы содержащие недостоверную
информацию о ГБОУ средняя школа № 318, а также фальсифицировать свой IP-адрес.
Резервное копирование и восстановление данных
Осуществление резервного копирования должно осуществляться для:
информации обрабатываемой на файловом сервере и сервере приложений,
информационной системы;
рабочих мест администраторов информационной системы.
Частота и режим резервного копирования устанавливаются таким образом, чтобы
обеспечить минимальную потерю данных и оперативное восстановление.

12

Настройка резервного копирования и восстановления ресурсов информационных
систем ГБОУ средняя школа № 318 должны проводить уполномоченные работники школы
№ 318.
Резервное копирование должно осуществляться в автоматическом режиме с
применением отечественного специализированного средства резервного копирования с
действующим сертификатом соответствия по требованиям безопасности информации
ФСТЭК России.
ОСНОВНЫЕ ТРЕБОВАНИЯ К ПРОЦЕССАМ УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Мониторинг информационной безопасности
На постоянной основе должен проводиться комплексный анализ функционирования
информационной системы ГБОУ средняя школа № 318 и возникающих событий
информационной безопасности.
Процесс мониторинга системы обеспечения информационной безопасности должен
включать в себя контроль организационных и технических мер по защите информации,
анализ параметров конфигурации и настройки средств защиты информации.
При проведении контрольных мероприятий, связанных с оценкой реализации мер по
защите информации в ГБОУ средняя школа № 318, уполномоченные работники должны
придерживаться следующих принципов:
не нарушать функционирование деятельности ГБОУ средняя школа № 318;
действовать в соответствии с утвержденными организационно-распорядительными
документами ГБОУ средняя школа № 318 по защите информации;
не скрывать факты выявленных событий информационной безопасности;
оформлять отчеты, подтверждающие выполнение мероприятий по защите
информации.
Информация, полученная в ходе проведения контролирующих мероприятий о
действиях, событиях и параметрах, имеющих отношение к реализации мер по защите
информации, должна консолидироваться и храниться в местах, исключающих получение к
ней несанкционированного доступа.
Управление рисками
Определение внутренних требований по защите информации, должны основываться
на результатах проведения анализа рисков нарушения основных свойств безопасности для
информационных ресурсов ГБОУ средняя школа № 318.
Основой оценки рисков должна быть оценка условий и факторов, которые могут
стать причиной нарушения целостности, конфиденциальности и доступности для
информационных ресурсов ГБОУ средняя школа № 318.
Результатом проведения анализа рисков должен быть разработанный комплекс мер,
направленных на снижение возможного негативного влияния на основную деятельность
ГБОУ средняя школа № 318 при реализации той или иной угрозы безопасности информации
и обеспечивающих в дальнейшем достаточный уровень защищенности информационных
систем ГБОУ средняя школа № 318.
Управление инцидентами информационной безопасности
Для обеспечения эффективного разрешения инцидентов информационной
безопасности в ГБОУ средняя школа № 318, минимизации потерь и уменьшения риска
возникновения повторных инцидентов должно осуществляться управление инцидентами
информационной безопасности посредством комплекса средств для сбора, консолидации
информации об инцидентах решает данную задачу. В отношении каждого произошедшего
инцидента работниками из службы мониторинга и реагирования на инциденты
информационной безопасности должен выполняться его анализ, и разработка эффективных
мер реагирования на данный инцидент.
13

Аудит системы обеспечения информационной безопасности
В целях оценки текущего уровня информационной безопасности ГБОУ средняя
школа № 318 на регулярной основе должен проводиться аудит информационной
безопасности.
Внутренние аудиты должны выполняться работниками ГБОУ средняя школа № 318.
В число задач, решаемых при проведении внутренних аудитов информационной
безопасности:
сбор и анализ исходных данных об организационной и функциональной структуре
информационных систем, необходимых для оценки состояния системы защиты
информации;
анализ утвержденных организационно-распорядительных документов по защите
информации на предмет их полноты и эффективности, а также формирование рекомендаций
по их доработке или разработки новых;
обоснование финансовой эффективности вновь приобретаемых средств защиты
информации;
проверка правильности выбора и настройки средств защиты информации,
формирование предложений по использованию имеющихся средств защиты информации
для повышения уровня надёжности и безопасности информационных систем ГБОУ средняя
школа № 318;
анализ отчетов по произошедшим инцидентам информационной безопасности и
принятым мерам по их разрешению.
Повышение осведомленности работников
В рамках организации комплексного противодействия угрозам безопасности
информации, исходящим от работников ГБОУ средняя школа № 318 должна постоянно
повышаться их осведомленность в области защиты информации, которое осуществляется:
по существующим в ГБОУ средняя школа № 318 организационнораспорядительным документам;
по применяемым в ГБОУ средняя школа № 318 мерам защиты информации;
по правильному использованию средств защиты информации.
ЗАКЛЮЧЕНИЕ
При изменении действующего законодательства Российской Федерации в области
защиты информации, настоящая Политика и изменения к ней применяются в части, не
противоречащей вновь принятым законодательным и иным нормативным актам, а также
внутренним документам ГБОУ средняя школа № 318. Все требования, установленные
действующим законодательством Российской Федерации, подзаконными актами и
договорными отношениями, а также подход ГБОУ средняя школа № 318 к обеспечению
соответствия этим требованиям должны быть явным образом определены,
документированы и поддерживаться в актуальном состоянии. ГБОУ средняя школа № 318
в приоритетном направлении должен рассматриваться переход на программного
обеспечение отечественного производителя, включенного в единый реестр российских
программ для электронных вычислительных машин и баз данных.

14