Моршинська міська територіальна громада
Львівська область, Стрийський район
Логотип Diia Герб України
gov.ua місцеве самоврядування України
Людям із порушенням зору
  Пошук
» Архів документів » Про затвердження Політики інформаційної безпеки Моршинської міської ради

рішення виконавчого комітету №124 «Про затвердження Політики інформаційної безпеки Моршинської міської ради»

Кількість переглядів: 368
Скликання:
Сесія:
Тип документу: рішення виконавчого комітету
Дата прийняття: 07.08.2025
Дата оприлюднення: 12.08.2025
Автор: Манастирська О.З.
Номер документу: 124
Назва документу: Про затвердження Політики інформаційної безпеки Моршинської міської ради
Прикріплені файли:
  1. Файл 1 (0.08 МБ)
  2. Файл 2 (0.03 МБ)

МОРШИНСЬКА МІСЬКА РАДА

ВИКОНАВЧИЙ КОМІТЕТ

Р І Ш Е Н Н Я  № 124

 

  1. 07 ” серпня 2025 р.                                                                                 м.Моршин

     

Про затвердження Політики

інформаційної безпеки Моршинської     міської ради

З метою забезпечення належного рівня захисту інформаційних ресурсів, підвищення ефективності управління інформаційною безпекою, запобігання загрозам несанкціонованого доступу до інформації; відповідно до Законів України «Про інформацію», «Про доступ до публічної інформації», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про основні засади забезпечення кібербезпеки України»; згідно з вимогами ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) «Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги», ДСТУ ISO/IEC 27002:2023 (ISO/IEC 27002:2022, IDT) «Інформаційна безпека, кібербезпека та захист конфіденційності. Засоби контролювання інформаційної безпеки», керуючись ст. 25,ст, 59 Закону України «Про місцеве самоврядування в Україні», виконавчий комітет Моршинської міської ради

ВИРІШИВ:

1.Затвердити Політику інформаційної безпеки Моршинської міської ради (додається).
2.Встановити, що Політика інформаційної безпеки Моршинської міської ради є обов’язковою до виконання посадовими особами виконавчих органів міської ради, які працюють з інформаційними ресурсами.
4.Керівникам структурних підрозділів ознайомити усіх працівників та забезпечити неухильне дотримання затвердженої Політики.
5.Контроль за виконанням даного рішення покласти на керуючого справами виконкому Ольгу МАНАСТИРСЬКУ

Заступник міського голови                                                                                        Руслан ХОМИН

ЗАТВЕРДЖЕНО 

рішення виконкому від

07.08. 2025 року № 124

 

ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

  1. Моршинської міської ради

     

     

    ДАТА ОСТАННЬОЇ РЕДАКЦІЇ

    серпень 2025 р

     

     

     

     

     

     

     

     

     

     

    1.Загальні положення

Політика інформаційної безпеки Моршинської міської ради та її виконавчих органів (надалі – Політика ) є основоположним документом, що визначає цілі, принципи, підходи та загальні вимоги до організації інформаційної безпеки.

Політика інформаційної безпеки призначена для формування єдиного підходу до управління інформаційною безпекою в межах діяльності виконавчих органів міської ради. Її основне призначення полягає у:

- визначенні стратегічних цілей щодо організації безпеки інформації, включаючи захист персональних даних, конфіденційної, службової та публічної інформації, що обробляється, зберігається або передається в інформаційних системах виконавчих органів;

-  установленні єдиних вимог до всіх працівників, а також сторонніх організацій, які мають доступ до інформаційних активів виконавчих органів міської ради, з метою дотримання принципів конфіденційності, цілісності, доступності та безперервності інформації.

 

 2. Терміни та визначення

Актив – активом є все, що має цінність для виконавчого органу міської ради й потребує захисту [(інформаційний актив, апаратне забезпечення, програмне забезпечення, інфраструктура, мережа розповсюдження інформації, посадові особи, сервіси, технології та ресурси (фінансові, технічні, адміністративні, організаційні) для забезпечення інформаційної діяльності, нематеріальні активи (імідж, довіра, сертифікати відповідності, ліцензії тощо)].

Власник активу – відповідальна посадова особа або відділи, управління інші виконавчі органи міської ради, у розпорядженні та/або користуванні, та/або розробці, та/або підтримці яких перебуває актив, що може впливати на інформаційну безпеку (надалі ІБ) та кібербезпеку.

Вплив – величина збитку, який можна очікувати в результаті наслідків несанкціонованого розкриття інформації, несанкціонованої зміни інформації, несанкціонованого знищення інформації або втрати інформації або порушення доступності інформаційної системи.

Bring your own device (надалі BYOD) – це IT-політика, згідно з якою посадовим особам дозволено або рекомендується використовувати особисті мобільні пристрої (телефони, планшети, ноутбуки) для доступу до даних та систем.

Доступність – властивість інформації, яка полягає в тому, щоб бути доступною та використовуватися на вимогу користувача і/або процесу.

Загроза – можлива небезпека, яка може використовувати уразливість в інформаційній системі для порушення цілісності, конфіденційності, доступності системи.

Інформаційна безпека (ІБ) – це практика забезпечення захисту інформаційних активів від загроз, які можуть на них вплинути. Вона включає в себе вичерпний набір засобів управління, які охоплюють різні фактори (людські, фізичні, екологічні та технічні) протягом життєвого циклу інформаційних і технологічних активів, включаючи розробку, створення і впровадження нових систем, підтримка даних і систем, моніторинг використання таких активів, виявлення та реагування на потенційні загрози, дотримання чинних законів і положень про кібербезпеку і конфіденційність, а також виведення з експлуатації ІТ-систем і знищення даних.

Інформаційно-комунікаційна система (ІКС) – комп'ютерні системи, програмне забезпечення, телекомунікаційне і периферійне устаткування.

Інформаційний актив (ІА) – це сукупність відомостей (інформації у фізичній або електронній формі), що представляє цінність для виконавчих органів міської ради, а також будь-яка інформаційна система обробки, обміну чи фізичного місця зберігання інформації.

Інцидент – це подія, яка не є частиною звичайних операцій і порушує робочі процеси. Інцидент може включати відмову функції або послуги, які повинні були бути надані, або будь-які інші типи збою операції.

Конфіденційність – властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем і/або процесом.

Оцінка ризиків – процес виявлення, визначення пріоритетів та аналіз ризиків. Процес включає визначення ступеня, в якому несприятливі обставини або події можуть вплинути на Організацію. Даний процес використовує результати оцінок загроз і вразливостей для виявлення ризиків для діяльності виконавчих органів міської ради і оцінює ці ризики, з точки зору ймовірності виникнення і впливу. Результатом оцінки ризику є список передбачуваних потенційних впливів і явних вразливостей. Оцінка ризиків є частиною процесу управління ризиками.

Ризик – ймовірність впливу на діяльність виконавчих органів міської ради (включаючи місію, функції, імідж, репутацію), її активи (ресурси) і співробітників в результаті експлуатації вразливостей інформаційної системи і залежно від потенційного впливу, реалізація загрози і ймовірність її реалізації.

Уразливість – недолік в інформаційній системі, який може бути використаний суб'єктом загрози (наприклад, зловмисником) для виконання несанкціонованих дій в системі і порушення цілісності, конфіденційності, доступності або спостережливості.

3. Політика інформаційної безпеки

3. 1.Управління інформаційною безпекою

 Вимоги та обмеження Політики, застосовуються до мережевої інфраструктури, баз даних, носіїв інформації, друкованих документів, мультимедіа файлів, засобів бездротового зв'язку, телекомунікаційних систем, аудіо повідомлень та будь-яких інших засобів, що використовуються для передачі, обробки та зберігання інформації у всіх апаратних, програмних та інших інформаційних та цифрових системах ради. Усі особи, яким надано доступ до ресурсів ІКС, підпадають під дію Політики інформаційної безпеки та повинні її дотримуватися.

Для забезпечення постійної придатності, адекватності та ефективності ця Політика повинна переглядатися відповідальною особою за інформаційну безпеку через заплановані проміжки часу – щонайменше раз в рік або частіше якщо впроваджуються суттєві зміни або за рішенням міського голови.

Суттєвими змінами можна вважати: 

  • Зміни в процесах діяльності Моршинської міської ради;

  • Зміни в організаційній структурі;

  • Зміни в ІТ-інфраструктурі міської ради тощо.

     

3.2. Розподіл обов’язків інформаційної безпеки

Загальна відповідальність за ІБ в Моршинській міській раді та її виконавчих органах покладається на міського голову та відповідального за інформаційну безпеку.

Відповідальний за інформаційну безпеку несе відповідальність за впровадження Політики інформаційної безпеки в операційних та технологічних процесах міської ради та її виконавчих органах.

Головний спеціаліст-діловод відділу організаційно-кадрової роботи відповідає за щоденні питання ІБ та є першою контактною особою для всіх питань з ІБ і кіберзахисту у міській раді та її виконавчих органах;

Для зменшення ризиків виникнення інцидентів ІБ усі посадові особи, які мають доступ до ресурсів ІКС систематичного проходять навчання з норм і заходів ІБ.

 

3.3. Безпека людських ресурсів

Політика встановлює вимоги до посадових осіб виконавчих органів міської ради щодо належного рівня обізнаності у сфері інформаційної безпеки та дотримання відповідних політик, що спрямоване на зниження ризиків несанкціонованого використання активів, крадіжок, шахрайства. Вимоги є обов’язковими для всіх посадових осіб виконавчих органів міської ради.

Усі посадові особи мають проходити регулярне навчання з питань ІБ та ознайомлюватися з правилами безпеки, які до цих працівників застосовуються.

Працівники зобов’язані:

- забезпечити захист цілісності, доступності та конфіденційності активів у межах визначеної відповідальності власника активу;

- повідомляти головного спеціаліста-діловода відділу організаційно-кадрової роботи та відповідального за інформаційну безпеку усіма доступними (довіреними) каналами зв’язку про всі порушення стосовно обробки ІА, появу подій чи інцидентів ІБ та кібербезпеки або визначення інших недоліків;

- у межах повноважень визначати яка інформація, пов’язана з інформаційною безпекою, буде передаватися третій стороні (як внутрішній, так і зовнішній);

 

3.4. Фізична та екологічна безпека

Заходи фізичної безпеки застосовуються для захисту всіх робочих місць, комп’ютерних носіїв та інших форм вбудованих і з’ємних носіїв інформації, що містять інформацію.

Усе офісне та периферійне обладнання (принтери, факси, копіювальні апарати), що зберігає, виробляє та/або передає інформацію, має бути захищене та обслуговуватися щодо:

- захисту від збою живлення (установлення альтернативних джерел енергоживлення – UPS, генератор тощо);

- від ненавмисного чи несанкціонованого доступу.

- забезпечення захисту від несправностей;

- захисту кабельних каналів для ліній електропередач і телекомунікацій;

- критичних систем, що мають мати можливість дистанційного відновлення;

- віддаленого доступу, що має бути захищений безпечним з’єднанням (VPN);

-  захисту критичних компонентів ІКС (установлення фільтру захисного протизавадного) від таких загроз: блискавка, грозовий розряд, електромагнітний імпульс.

Робочі місця, активно підключені до мережі чи інформаційних систем, не можна залишати без нагляду;

Комп’ютерні носії інформації та будь-які інші види з’ємних накопичувачів (наприклад: дискети, компакт-диски, zip-диски, кишенькові комп’ютери, флеш-накопичувачі) повинні зберігатися в безпечному місці або в закритій шафі коли вони не використовуються;

Працівники не повинні встановлювати або завантажувати програмні додатки та/або виконувані файли на будь-яких настільних чи портативних комп’ютерах, BYOD без попереднього дозволу

Усе обладнання має правильно експлуатуватися та обслуговуватися, щоб забезпечити його постійну доступність і цілісність угод про технічне обслуговування та підтримку.

Обладнання, що містить будь-яку форму зберігання носіїв, має бути безпечно утилізовано після закінчення терміну експлуатації.

3.5. Класифікація та управління інформацією

 

 Інформацію слід класифікувати, визначати та оцінювати ризики відповідно до її конфіденційності, цілісності, доступності та спостережливості, незалежно від носія, на якому вона зберігається і/або обробляється. Чутлива інформація повинна визначатися відповідно до її конфіденційності, цілісності, доступності та спостережливості. Вся інформація, окрім публічної, має визначатися як чутлива.

Незалежно від рівня конфіденційності, вся інформація міської ради повинна використовуватися належним чином та тільки для дозволених цілей.

Розкриття інформації з обмеженим доступом може здійснюватися лише з дотриманням вимог чинного законодавства України.


 3.6.Обробка, передача та зберігання даних

 Чутливі дані повинні збиратися та зберігатися лише в системах, де є обґрунтована ділова чи технічна потреба. Чутливі дані повинні бути захищені при зберіганні і/або використанні у системах, і надійно видалятись, коли вони більше не потрібні.

Чутливі дані ніколи не повинні збиратися або використовуватися для цілей, відмінних від тих, для яких дані були зібрані спочатку. Усі параметри збереження даних (періоди, цілі тощо) повинні бути законними та відповідати місцевому та міжнародному законодавству та нормам щодо захисту даних.

 

3.7. Управління інформаційними активами
 Використання всіх внутрішніх активів офісного програмного забезпечення виконавчого органу міської ради (ліцензій, носіїв), включаючи програмне забезпечення внутрішньої розробки, має відстежуватися в інвентаризаційних описах.

Володіння чи використання неліцензійного програмного забезпечення

в будь-яких ІКС у виконавчих органах міської ради суворо заборонено.

Моршинська міська рада та її виконавчі органи мають право власності на всі файли та повідомлення, що зберігаються або передаються на робочих місцях користувачів (у тому числі BYOD) та мережевому обладнанні, і залишає за собою право доступу до цієї інформації без попереднього повідомлення користувача ІКС.

3.8. Використання робочих та особистих пристроїв

Переважно діяльність посадових осіб міської ради ведеться з використанням настільних (стаціонарних) або портативних комп’ютерів, що належать до власності міської ради чи виконавчих органів та призначені для діяльності працівника в межах цілей виконавчого органу міської ради. При цьому можуть виникати випадки використання робочих станцій, які належать користувачам на підставі приватної власності (BYOD).

 Політика ІБ передбачає можливість використання BYOD за умови надання окремого дозволу від відповідального за інформаційну безпеку та виконання вимог D14.4-СУІБ «Політика використання власного пристрою (BYOD)».

Під час обробки ІА користувачі повинні захищати ІА, що створені, зібрані або збережені за допомогою настільних, портативних комп’ютерів, BYOD, та пов’язаних комп’ютерних носіїв (наприклад: дискет, компакт-дисків, персональних цифрових помічників (PDA), флеш-накопичувачів тощо) і периферійного обладнання (наприклад: факсів, принтерів та копіювальних апаратів).

Для мобільних і віддалених комп’ютерів мають бути застосовані однакові фізичні та технічні заходи безпеки.

Особи, яким надано доступ до мережі або ІКС, повинні захищати настільні та портативні комп’ютери, BYOD від ненавмисного або несанкціонованого доступу таким чином:

- залишаючи настільний, портативний комп’ютер або BYOD без нагляду, користувачі повинні застосувати функцію «Блокування робочого стола» ( Win+L);

- настільні, портативні комп’ютери або BYOD мають бути налаштовані на

активацію функції автоматичної заставки після періоду невикористання. Період невикористання може тривати не більше п'яти хвилин;

- користувачі настільних, портативних комп’ютерів або BYOD повинні зберігати інформацію на мережевому диску;

- настільні та портативні комп'ютери й монітори вимикаються в кінці кожного робочого дня.

 Користувачам настільних, портативних комп'ютерів, BYOD заборонено відключати або змінювати налаштування програмного забезпечення комплексу засобів захисту, які забезпечують:

- виявлення вірусів;

- моніторинг дій користувачів;

- протидію витоку конфіденційної інформації;

- протидію шкідливому програмному забезпеченню;

- заходи фізичної безпеки.

 

3.9. Парольна політика

 

 Відповідно до Парольної політики, для забезпечення надійного захисту інформаційних систем паролем, мають бути встановлені наступні параметри:

  • Мінімальна довжина: 8-12 символів;

  • Пароль повинен відповідати вимогам складності: так;

  • Повинен містити символи верхнього та нижнього регістру, числа, а також неалфавітні символи;

  • Не використовувати будь-які персональні дані;

  • Не містить у собі загальновживані слова;

  • Поріг блокування облікового запису: 5 послідовних невдалих спроб введення;

  • Скинути лічильник блокування облікового запису через: 15 хвилин;

  • Безпечне зберігання паролів: паролі не слід зберігати або передавати у відкритому тексті.

3.10 Використання електронної пошти

 

 Доступ до електронної пошти надається працівникам міської ради та її виконавчих органів для виконання своїх службових обов'язків.

В Моршинській міській раді заборонено: 

  • Надсилати повідомлення, що містять чутливу інформацію, а також дані, що містять чутливу інформацію не для виконання своїх службових обов'язків. Забороняється надсилати по електронній пошті логіни, паролі та іншу чутливу інформацію;

  • Використовувати електронну пошту для особистих цілей; 

  • Використовувати електронну адресу для підписки на маркетингові електронні листи без попереднього узгодження з відповідальною особою за ІБ;

  • Відкривати будь-яке вкладення, посилання чи додаток до електронної пошти, де співробітник не має ґрунтовних підстав вважати, що інформація, до якої очікується доступ, надійшла з надійного джерела;

  • Надсилати масові розсилки (понад 10) на зовнішні адреси без згоди Керівника співробітника та відповідальної особи за ІБ;

  • Надсилати по електронній пошті матеріали, що містять шкідливе програмне забезпечення чи інші програми, призначені для порушення, знищення або обмеження функціональних можливостей будь-якого комп’ютерного чи телекомунікаційного обладнання чи інформаційних систем та послуг;

  • Надсилати електронною поштою програми, які забезпечують несанкціонований доступ;

  • Розповсюджувати за допомогою електронної пошти матеріали, які захищені авторським правом і зачіпають будь-який патент, торгову марку, комерційну таємницю, авторські права або будь-які інші права власності. та/або авторські права або пов’язані з ними права третіх сторін;

  • Поширювати через електронну пошту інформацію, заборонену міжнародним та українським законодавством, включаючи матеріали, що є шкідливими, загрозливими, нецензурними, а також інформацію, що порушує честь та гідність інших. Також забороняється надсилати матеріали, що розпалюють національну ворожнечу, підбурюють до насильства, закликають до незаконних дій, включаючи матеріали, що містять інструкції щодо використання вибухових речовин, зброї тощо.

Доступ колишнього співробітника до облікових записів електронної пошти міської ради та її виконавчих органів повинен бути негайно відключений та деактивований.

3.11. Безпека мережі

Щоб захистити інформацію в системах та додатках ТГ, необхідно належним чином управляти та контролювати мережі.

Використання протоколів безпечного зв’язку гарантують конфіденційність, цілісність, доступність та спостережливості інформації, що передається. Наступні протоколи найбільш прийнятні для використання:

  • SSH2;

  • SFTP;

  • TLS 1.2-1.3; 

  • HTTPS;

  • WSS;

  • SMTPS;

  • DNS-over-HTTPS.

Вимоги до конфігурування безпеки Wi-Fi мереж: 

  • Зміна паролів за замовчуванням;

  • Вимкнення WPS;

  • Вимкнення SSID Broadcast;

  • Обмеження можливості під’єднання пристроїв до локальної мережі

  • Своєчасне оновлення прошивки;

 3.12 Встановлення безпечних оновлень

Антивірусне програмне забезпечення та інші компоненти безпеки повинні регулярно перевірятись та оновлюватись до останньої версії.

Відповідальний за інформаційну безпеку повинен проводити періодичний огляд на веб-сайті постачальника, який надає інформаційні активи на наявність оновлень.

Якщо операційна система – Windows, інструмент управління виправленнями повинен бути налаштований таким чином, щоб він автоматично завантажував останні виправлення безпеки Microsoft. Перевірка та застосування виправлень повинна проводитись за необхідності.

 3. 13. Захист від шкідливого ПЗ 

Попереднє тестування програмного забезпечення та перевірка файлів до їх встановлення на пристроях, з яких існує доступ до корпоративної інформації/систем/ресурсів забезпечується антивірусними програмами.

Стандартне ліцензійне програмне забезпечення для виявлення вірусів має бути встановлено на всіх настільних і портативних комп’ютерах, BYOD та віддалених пристроях і має бути налаштовано на перевірку файлів під час читання та регулярне сканування системи на наявність вірусів.

Сканери проти шкідливого ПЗ необхідно налаштувати на автоматичне сканування відповідних компонентів відразу після випуску оновлень. Головний спеціаліст-діловод відділу організаційно-кадрової роботи налаштовує антивірусне програмне забезпечення на: сканування під час завантаження, сканування файлів при відкритті, сканування вкладень вхідної та вихідної електронної пошти, веб сканування вмісту при синхронізації із скануванням портативних пристроїв, де це можливо. Для захисту програмного забезпечення від шкідливих програм головний спеціаліст-діловод відділу організаційно-кадрової роботи здійснює: ручне/автоматичне та планове сканування, видалення заражених файлів, розміщення заражених файлів на карантин, які неможливо видалити, можливість автоматичного та запланованого оновлення, реєстрація випадків шкідливого програмного забезпечення та забезпечення можливості аналізу логів, централізоване управління та ведення логів.

 3.16. Безпека комунікацій

 Обов'язковою є перевірка вкладень з поштових скриньок та інших месенджерів перед завантаженням.

Заборонений доступ до ресурсів міської ради за прямим посиланням.

Під час обміну інформацією повинні використовуватись лише захищені протоколи передачі даних.

 3.17. Управління інцидентами

Моршинська міська рада регулярно проводить навчання та підвищення обізнаності працівників в сфері управління інцидентами. Підтримує та розвиває процес реагування на всі типи інцидентів ІБ, відповідно до Політики реагування на інциденти кібербезпеки (Додаток 1).

Кожен співробітник несе відповідальність за повідомлення Відповідальної особи за ІБ, коли він або вона дізнаються про те, що стався або міг статися інцидент ІБ, який міг поставити під загрозу безперервність діяльності ТГ.

Співробітники та треті сторони можуть намагатися вирішити інциденти ІБ лише за вказівками та з прямого дозволу Відповідальної особи за ІБ.З міркувань безпеки та технічних міркувань ТГ залишає за собою право відстежувати, записувати та реєструвати все використання своїх інформаційних активів і діяльність у мережі ТГ.


 

Керуючий справами виконкому                                                                      Ольга МАНАСТИРСЬКА

 

 

 

 

  1.  

 

 

 

 

 

 

 

 

 

 

 

« повернутися до всіх документів

Код для вставки на сайт

Реєстрація в системі електронних петицій

Зареєструватись можна буде лише після того, як громада підключить на сайт систему електронної ідентифікації. Наразі очікуємо підключення до ID.gov.ua. Вибачте за тимчасові незручності

Вже зареєстровані? Увійти

Відновлення забутого пароля

Згадали авторизаційні дані? Авторизуйтесь