Политика информационной безопасности в Государственном бюджетном учреждении здравоохранения Сахалинской области "Невельская центральная районная больница"

Скачать 286.5 Kb.

страница	1/4
Дата	09.08.2019
Размер	286.5 Kb.
	#127734

1 2 3 4

В целях обеспечения информационной безопасности данная политика разработана на основании Указа Президента РФ от 5 декабря 2016 г. N 646

"Об утверждении Доктрины информационной безопасности Российской Федерации"

Политика информационной безопасности в Государственном бюджетном учреждении здравоохранения Сахалинской области "Невельская центральная районная больница"

г. Невельск

2017 г.

Содержание

1.	Термины и определения	5
2.	Общие положения	7
3.	Цель	8
4.	Область применения	10
5.	Меры обеспечения информационной безопасности	10
5.1.	Размещение информации на официальных информационных ресурсах	10
5.2.	Использование программного обеспечения	11
5.3.	Обеспечение физической безопасности	12
5.3.1.	Организация охраны	12
5.3.2.	Контроль доступа	12
5.3.3.	Контроль нахождения посторонних лиц в помещениях	13
5.3.4.	Эксплуатация электронных устройств	14
5.4.	Парольная защита	15
5.4.1.	Порядок создания пароля	16
5.4.2.	Регулярность смены пароля	16
5.4.3.	Восстановление пароля	17
5.4.4.	Хранение пароля и передача его третьим лицам	18
5.5.	Обеспечение антивирусной защиты	19
5.5.1.	Предотвращение выполнения вредоносного кода	19
5.5.2.	Обнаружение вредоносного кода	21
5.6.	Межсетевое экранирование	21
5.6.1.	Требования по размещению межсетевых экранов	22
5.6.2.	Требования по развертыванию межсетевых экранов	22
5.6.3.	Требования по обеспечению безопасности межсетевых экранов	23
5.6.4.	Использование демилитаризованных зон	24
5.6.5.	Восстановление межсетевых экранов	24
5.6.6.	Тестирование межсетевых экранов	25
5.7.	Использования сетей общего пользования	26
5.7.1.	Обеспечение безопасности использования сетей общего пользования	26
5.7.2.	Ограничение предоставления доступа к СОП	27
5.7.3.	Ограничения использования сетей общего пользования	27
5.7.4.	Правила использования сетей общего пользования	28
5.7.5.	Анализ использования пользователем сетей общего пользования	29
5.7.6.	Сообщение о проблемах безопасности при работе с СОП	30
5.8.	Использование электронной почты	30
5.8.1.	Правила использования системы электронной почты	31
5.8.2.	Безопасность при использовании системы электронной почты	32
5.8.3.	Хранение сообщений системы электронной почты	33
5.8.4.	Стиль сообщений системы электронной почты	33
5.9.	Резервное копирование	33
5.9.1.	Порядок резервного копирования рабочей информации	34
5.9.2.	Порядок хранения резервных копий	34
5.10.	Использование беспроводных сетей	35
5.11.	Использование средств криптографической защиты	35
5.11.1.	Управление ключами	36
5.11.2.	Использование электронной подписи	37
5.11.3.	Использование средств криптографической защиты для построения виртуальных частных сетей	38
5.11.4.	Компрометация ключей	38
5.12.	Использование мобильных устройств	38
5.13.	Использование отчуждаемых устройств	39
5.14.	Обеспечение сетевой безопасности	41
5.14.1.	Построение локальных вычислительных сетей Учреждения	42
5.14.2.	Организация коммутируемого доступа в локальные вычислительные сети Учреждения	43
5.14.3.	Организация межсетевого взаимодействия с третьими лицами	44
5.14.4.	Обеспечение безопасности маршрутизаторов	44
5.14.5.	Использование официальных сайтов	45
5.14.6.	Ограничения по использованию локальных вычислительных сетей Учреждения	45
5.15.	Управление доступом к ресурсам	45
5.15.1.	Общие правила доступа к локальным вычислительным сетям Учреждения	47
5.15.2.	Идентификатор учетной записи	47
5.15.3.	Учетные записи специальных типов	49
5.15.4.	Требования по настройке системы управления доступом	49
5.15.5.	Требования безопасности по использованию системы управления доступа	50
5.16.	Управление персоналом	50
5.16.1.	Требования до приема на работу	51
5.16.2.	Требования при выполнении должностных обязанностей	51
5.16.3.	Требования при прекращении выполнения должностных обязанностей	52
5.17.	Повышение осведомленности персонала в области информационной безопасности	53
5.18.	Обеспечение информационной безопасности при взаимодействии с третьими лицами	53
5.18.1.	Требования к передаче информации	54
5.18.2.	Ограничения при передаче информации	54
5.18.3.	Передача информации третьих лиц	55
5.18.4.	Размещение информации в общедоступных ресурсах	55
5.18.5.	Несанкционированная передача информации	55
5.19.	Обеспечение соответствия информационной безопасности требованиям нормативно-правовых актов Российской Федерации	56
6.	Ответственность	57

1.Термины и определения

Безопасность информации ограниченного доступа – состояние защищенности информации ограниченного доступа, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах с информацией ограниченного доступа.

Доступ к информации – возможность получения информации и ее использования.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Информация ограниченного доступа – любая информация, отнесенная к конфиденциальной информации, а именно: персональные данные, служебная тайна, врачебная тайна или иная информация, доступ к которой ограничен в соответствии с нормативно-правовыми актами Российской Федерации.

Информационная система с информацией ограниченного доступа – информационная система, представляющая собой совокупность информации ограниченного доступа, содержащихся в базе данных или в виде отдельных файлов с данными, а также информационных технологий и технических средств, позволяющих осуществлять обработку такой информации с использованием средств автоматизации или без использования таких средств.

Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Неправомерные действия с информацией ограниченного доступа – преднамеренное или случайное несанкционированное ознакомление с информацией ограниченного доступа, ее копирование, распространение, передача, уничтожение, изменение (модификация), блокирование, а также любое иное несанкционированное использование, которое может нанести ущерб Обществу или государству.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа.

Обработка информации ограниченного доступа – действия (операции) с информацией ограниченного доступа, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), блокирование, уничтожение.

Пароль – секретная (конфиденциальная) строка символов (букв, цифр, специальных символов), предъявляемая пользователем компьютерной системы для получения доступа к данным и программам; является средством защиты данных от несанкционированного доступа.

Пользователь – работник, использующий ресурсы информационной системы для выполнения должностных обязанностей.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Распространение информации ограниченного доступа – действия, направленные на передачу такой информации определенному кругу лиц или на ознакомление с информацией ограниченного доступа неограниченного круга лиц, в том числе ее обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ней каким-либо иным способом.

Технические средства информационной системы–средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации ограниченного доступа (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
2.Общие положения

Необходимость разработки настоящей Политики информационной безопасности Учреждения здравоохранения Сахалинский области (далее – Политика) обусловлена применением новейших информационных технологий и процессов при обработке информации вообще, и информации ограниченного доступа в частности.

Законодательной основой настоящей Политики являются Конституция Российской Федерации, Гражданский и Уголовный кодексы Российской Федерации, Федеральные конституционные законы Российской Федерации, федеральные законы Российской Федерации, Указы и распоряжения Президента Российской Федерации, постановления и распоряжения Правительства Российской Федерации, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации, Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Политика является основой для:

формирования и проведения единого подхода в области обеспечения безопасности информации в ГБУЗ "Невельская ЦРБ" (далее – Учреждение);
принятия управленческих решений и разработки практических мер по воплощению Политики и выработки комплекса согласованных мер, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз информационной безопасности;
координации деятельности Учреждения при проведении работ по созданию, развитию и эксплуатации информационных технологий с соблюдением требований по обеспечению информационной безопасности;
разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения информационной безопасности.

3.Цель

Основными целями данной Политики являются:

установка правил размещения информации на официальных информационных ресурсах Учреждения;
установка правил использования программного обеспечения в Учреждении;
установка правил обеспечения сохранности имущества, а также правил его эксплуатации, необходимых для обеспечения информационной безопасности в Учреждении;
установка правил создания, передачи и обеспечения сохранности паролей;
установка правил предотвращения, обнаружения и устранения последствий компьютерных вирусов и вредоносных программ;
установка правил использования межсетевых экранов, их развертывания, обеспечения безопасности и тестирования;
установка правил получения доступа к сетям общего пользования, правил работы в них, ограничений по их использованию, обеспечению безопасности при работе с ними и действия при их нарушении;
установка правил использования электронной почты;
установка правил резервного копирования информации в электронном виде;
установка правил использования беспроводных сетей;
установка правил использования средств криптографической защиты информации, обеспечение выполнения требований нормативно-правовых актов Российской Федерации по порядку использования средств криптографической защиты информации;
установка правил использования мобильных устройств, обеспечения их безопасности и сохранности;
установка правил использования отчуждаемых устройств, обеспечения их безопасности и сохранности;
установка правил работы в локальных вычислительных сетях, направленных на повышения безопасности их эксплуатации;
установка правил доступа к информационным ресурсам, направленных на повышение информационной безопасности;
совершенствование работы с кадровым составом (работниками) Учреждения, направленное на повышение безопасности информации;
выработка подходов к организации постоянного повышения осведомленности с кадрового состава (работников) Учреждения, направленное на повышение безопасности информации;
выработка подходов к организации взаимодействия с третьими лицами, направленных на повышение безопасности информации;
осуществление деятельности по обеспечению информационной безопасности в соответствии с требованиями нормативно-правовых актов Российской Федерации.

4.Область применения

Областью применения являются работники Учреждения, а также лица, состоящие в договорных отношениях с Учреждением, подразумевающих исполнение требований настоящей Политики и имеющие доступ к информационным ресурсам Учреждения.

5.Меры обеспечения информационной безопасности

Размещение информации на официальных информационных ресурсах

Официальные материалы, подлежащие размещению на официальных информационных ресурсах Учреждения. Дополнительно допускается размещение в прочих официальных информационных ресурсах.

Содержание официальных материалов должно удовлетворять требованиям нормативно-правовых актов Российской Федерации. Ответственность за соответствие содержания официальных материалов требованиям нормативно-правовых актов Российской Федерации возлагается на работника, уполномоченного и согласовавшего размещение таковых материалов.

Размещение официальных материалов на официальных интернет-порталах осуществляется Учреждением самостоятельно, за исключением случаев, предусмотренных прочими нормативными документами.

Содержание официальных материалов должно быть общедоступно и содержать свободно распространяемую информацию.

Размещение в официальных материалах информации (материалов) из сторонних источников (авторов) должно осуществляться с соблюдением требований нормативно-правовых актов Российской Федерации в сфере защиты авторских прав и интеллектуальной собственности.

В соответствии с нормативными правовыми актами Российской Федерации публикация в официальных материалах информации ограниченного доступа и составляющих государственную тайну запрещена.

Обладателем информации, публикуемой на официальных интернет-порталах, является Учреждение, предоставляющее данные материалы.

Использование программного обеспечения

Программное обеспечение, используемое для осуществления деятельности Учреждения, должно соответствовать условиям его лицензирования (независимо от того, является ли оно коммерческим или свободно распространяемым) и использоваться строго в соответствии с лицензионным соглашением. Случаи хранения и/или использования программного обеспечения, не являющегося лицензионным, должны быть исключены.

В случае, если нормативно-правовыми актами Российской Федерации предъявляются особые требования к программному обеспечению (например, требование по сертификации такого программного обеспечения уполномоченными организациям и т.п.) необходимо обеспечить выполнение подобных требований.

На каждое автоматизированное рабочее место должен быть установлен комплект программного обеспечения, необходимый и достаточный для выполнения на нем поставленных задач.

Учреждение предоставляет работникам достаточное количество лицензий на использование программного обеспечения, необходимого для выполнения работником своих должностных обязанностей.

Каталог: wp-content -> uploads -> 2017
2017 -> Свод правил по безопасной работе сотрудников органов исполнительной власти Самарской области, государственных органов Самарской области
2017 -> Руководство по эксплуатации общие сведения. «Жидкий акрил»
2017 -> О восстановлении пропущенного срока на подачу апелляционной жалобы
2017 -> Решение по гражданскому делу по моему иску к Петрову А. Н о выселении. В удовлетворении исковых требований мне было отказано в полном объеме
2017 -> Ротавирусная инфекция Профилактика острой кишечной инфекции

Скачать 286.5 Kb.

Поделитесь с Вашими друзьями:

1 2 3 4