Политика (1197924)
Текст из файла
УТВЕРЖДАЮ
Главный врач
КГБУЗ «Городская больница №4»
______________ Л.А.Саенко
«___» ____________ 2017 г.
Политика информационной безопасности
Краевого государственного бюджетного учреждения здравоохранения «Городская больница №4»
Комсомольск-на-Амуре, 2017
Оглавление
1 Термины и определения 3
2 Общие положения 4
3 Организационные аспекты информационной безопасности 4
4 Управление активами 8
5 Вопросы информационной безопасности, связанные с персоналом 9
6 Физическая безопасность 11
7 Контроль доступа 15
8 Управление передачей данных и операционной деятельностью 20
9 Разработка и эксплуатация информационных систем 31
10 Инциденты информационной безопасности 34
1 Термины и определения
Актив – все, что имеет ценность для организации.
Мера и средство контроля и управления – средство менеджмента риска, включающее в себя политики, процедуры, рекомендации, инструкции или организационные структуры, которые могут быть административного, технического, управленческого или правового характера.
Рекомендация – описание, поясняющее действия и способы их выполнения, необходимые для достижения целей, изложенных в политике.
Средства обработки информации – любая система обработки информации, услуга или инфраструктура, или их фактическое месторасположение.
Информационная безопасность – защита конфиденциальности, целостности и доступности информации.
Событие информационной безопасности – какое-либо событие информационной безопасности, идентифицируемое появлением определенного состояния системы, сервиса или сети, указывающее на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
Инцидент информационной безопасности – какой-либо инцидент информационной безопасности, являющийся следствием одного или нескольких нежелательных или неожиданных событий информационной безопасности, которые имеют значительную вероятность компрометации операции бизнеса или создания угрозы информационной безопасности.
Риск – сочетание вероятности события и его последствий.
Оценка риска – общий процесс анализа риска и оценивания риска.
Менеджмент риска – скоординированные действия по руководству и управлению организацией в отношении риска.
Третья сторона – лица или организация, которые признаны независимыми от участвующих сторон, по отношению к рассматриваемой проблеме.
Угроза – потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации.
Уязвимость – слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.
2 Общие положения
Основными целями норм и правил управления информационной безопасностью является:
-
обеспечение сохранности информационных ресурсов и систем от возможного нанесения физического ущерба путем организации контроля доступа в помещения;
-
обеспечение защиты информации от угроз, связанных с халатностью персонала;
-
обеспечение защиты информации от угроз со стороны каналов связи.
Нормы и правила устанавливают:
-
порядок обеспечения сохранности имущества Учреждения и его эксплуатации, необходимого для обеспечения информационной безопасности;
-
порядок предотвращения, обнаружения и устранения последствий компьютерных вирусов и вредоносных программ;
-
порядок получения доступа к сети Интернет, правил работы в ней, ограничений по ее использованию, обеспечению безопасности при работе с ней и действия при ее нарушении;
-
порядок использования электронной почты.
3 Организационные аспекты информационной безопасности
Организационные аспекты состоят из задач, которые решаются внутри Учреждения, и задач, которые требуют взаимодействия со сторонними организациями.
Главный врач Учреждения должен утвердить политику информационной безопасности, назначить ответственных лиц в области информационной безопасности, и координировать и анализировать внедрение информационной безопасности в учреждении. В Учреждении должны быть определены обязательства руководства, ответственного за информационную безопасность, определение процедур получения разрешения на использование новых средств обработки информации, процедуры получения соглашения об обработке конфиденциальной информации, взаимодействие с другими организациями.
Для взаимодействия с другими организациями должны быть решены и задокументированы такие вопросы, как контроль доступа к средствам обработки информации третьими сторонами, определение рисков, связанных с взаимодействием с третьими сторонами, включение требований безопасности в договоры со сторонними организациями.
3.1 Задачи, решаемые внутри Учреждения
Высшее руководство Учреждения, ответственное за информационную безопасность в Учреждении должно:
-
быть уверенным в том, что цели информационной безопасности определены, соответствуют требованиям Учреждения, и включены в соответствующие процессы;
-
формулировать, анализировать, утверждать и пересматривать политику информационной безопасности;
-
анализировать эффективность ее реализации;
-
обеспечивать четкое управление для соблюдения политики безопасности сотрудниками;
-
устанавливать определенные роли и ответственности внутри Учреждения в отношении информационной безопасности;
-
удостоверяться в том, что меры и средства контроля актуальны и скоординированы в рамках Учреждения;
-
осведомлять работников в вопросах информационной безопасности.
Ответственный за информационную безопасность должен установить порядок получения разрешения на использование средств обработки информации. В рамках процесса получения разрешения:
-
на новые средства обработки информации сотрудникам необходимо получить соответствующие разрешения руководства, утверждающего их цель и использование;
-
ответственному за безопасность необходимо проверять аппаратные средства и программное обеспечение на предмет совместимости с другими компонентами системы, где это необходимо;
-
следует определять и реализовывать необходимые меры и средства контроля и управления над использованием персональных или находящихся в частной собственности средств обработки информации, т.к. их использование может являться причиной новых уязвимостей.
Должны определяться и регулярно пересматриваться требования в отношении соглашений о конфиденциальности или неразглашении, отражающие потребности Учреждения в защите информации. Чтобы определить такие требования, необходимо учитывать:
-
определение информации, которая подлежит защите;
-
предполагаемый срок действия соглашения, включая случаи, когда может возникнуть необходимость в неограниченной поддержке конфиденциальности;
-
действия при окончании срока действия соглашения;
-
обязанности и действия лиц, подписавших соглашение, с целью предотвращения несанкционированного разглашения информации;
-
право подвергать мониторингу деятельность, связанную с конфиденциальной информацией;
-
процедуру предупреждения и сообщения о несанкционированном разглашении или нарушениях, связанных с конфиденциальной информацией;
-
условия возврата или уничтожения информации в случае приостановления действия соглашения;
-
предполагаемые действия, которые следует предпринять в случае нарушения данного соглашения.
3.2 Взаимодействие со сторонними организациями
Все действия, которые связаны с привлечением третьей стороны к средствам обработки информации Учреждения, должны быть основаны на официальном контракте, и должны обеспечиваться в соответствии с политикой и стандартами безопасности Учреждения. Контракт должен исключать возможности недопонимания между сторонами и включать в себя:
-
общую политику информационной безопасности;
-
защита активов, которая содержит процедуры по защите активов организации, процедуры для определения компрометации активов, мероприятия по обеспечению возвращения или уничтожения информации и активов по окончании контракта или в установленное время в течение действия контракта, целостность и доступность активов, и ограничения на копирование и раскрытие информации;
-
описание каждой предоставляемой услуги;
-
определение необходимого и неприемлемого уровня обслуживания;
-
соответствующие обязательства сторон в рамках договора;
-
обязательства относительно юридических вопросов;
-
права интеллектуальной собственности и авторские права, а также правовая защита любой совместной работы;
-
соглашения по управлению доступом;
-
определение измеряемых показателей эффективности, а также их мониторинг и предоставление отчетности;
-
право мониторинга действий пользователей и блокировки доступа;
-
право проводить проверки договорных обязанностей или делегировать проведение такого аудита третьей стороне;
-
определение процесса информирования о возникающих проблемах в случае непредвиденных обстоятельств;
-
обязанности, касающиеся установки и сопровождения аппаратных средств и программного обеспечения;
-
четкая структура подотчетности и согласованные форматы представления отчетов;
-
ясный и определенный процесс управления изменениями;
-
любые необходимые способы ограничения физического доступа и процедуры для обеспечения уверенности в том, что эти меры эффективны;
-
обучение пользователя и администратора методам и процедурам безопасности;
-
мероприятия по управлению информационной безопасностью для обеспечения защиты от вредоносного программного обеспечения;
-
процедуры отчетности, уведомления и расследования инцидентов нарушения информационной безопасности и выявления слабых звеньев системы безопасности;
-
привлечение третьей стороны вместе с субподрядчиками.
4 Управление активами
Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Уполномоченным лицам Учреждения необходимо обеспечить их соответствующую защиту.
4.1 Инвентаризация активов
Должна производиться инвентаризация активов: Учреждение должно идентифицировать все активы и документально оформить их значимость. В опись активов следует включить информацию, необходимую для восстановления после бедствия, включая тип актива, формат, местоположение, информацию о резервных копиях.
4.2 Владение активами
Владельцы активов должны нести ответственность за:
-
обеспечение уверенности в том, что информация и активы, связанные со средствами обработки информации, классифицированы соответствующим образом;
-
определение и периодический пересмотр ограничений и классификаций доступа, принимая в расчет применимые политики управления доступом.
4.3 Классификация информации
Для определения необходимости, приоритетов и предполагаемой степени защиты при обработке информации, информацию необходимо классифицировать.
При классификации информации следует учитывать, что она может перестать быть чувствительной к компрометации по истечении определенного периода времени. Также следует учесть, что категория любого вида информации необязательно должна быть постоянной в течение всего времени.
4.4 Маркировка информации
Выводимые из систем документы, содержащие информацию, которая классифицирована как чувствительная или критическая, должны содержать соответствующий маркировочный знак. Маркированными могут быть экранные отображения, напечатанные отчеты, носители информации, пересылаемые файлы и электронные сообщения.
Маркировка и безопасная обработка классифицированной информации - ключевые требования для соглашений о совместном использовании информации со сторонними организациями. Информационные активы обычно имеют физические метки, однако некоторые из них не могут быть маркированы физически, и поэтому необходимо использовать электронные аналоги маркировки.
5 Вопросы информационной безопасности, связанные с персоналом
В должностные регламенты всех работников Учреждения должны быть внесены конкретные требования по обеспечению информационной безопасности в зависимости от их должностных обязанностей. Подбор и порядок вступления в договорные и трудовые отношения и их расторжения, а также порядок допуска работника к работе с информацией ограниченного доступа, порядок работы с такой информацией и порядок прекращения допуска к такой информации, должны соответствовать требованиям нормативно-правовым актам Российской Федерации и организационно-распорядительной документации Учреждения.
5.1 Требования к персоналу перед трудоустройством
Претенденты на работу должны быть проверены на полноту и точность их биографии, а также подлинность документов, удостоверяющих личность.
Должно быть подтверждено заявленное образование и профессиональная квалификация претендента.
В случаях, когда претенденту предстоит работать с чувствительной информацией, например, финансовой или секретной, следует провести более детальную проверку, например кредитоспособности или на наличие судимости.
Все сотрудники должны быть проинформированы о своих ролях и обязанностях, и подписать соглашение о конфиденциальности или неразглашении прежде, чем им будет предоставлен доступ к информационным системам или чувствительной информации. Такое соглашение должно быть неотъемлемой частью трудового договора.
5.2 Требования к персоналу в течение занятости
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
