В целях обеспечения информационной безопасности данная политика разработана на основании Указа Президента РФ от 5 декабря 2016 г. N 646
"Об утверждении Доктрины информационной безопасности Российской Федерации"
Политика информационной безопасности в Государственном бюджетном учреждении здравоохранения Сахалинской области "Невельская центральная районная больница"
г. Невельск
2017 г.
Содержание
1.
|
Термины и определения
|
5
|
2.
|
Общие положения
|
7
|
3.
|
Цель
|
8
|
4.
|
Область применения
|
10
|
5.
|
Меры обеспечения информационной безопасности
|
10
|
5.1.
|
Размещение информации на официальных информационных ресурсах
|
10
|
5.2.
|
Использование программного обеспечения
|
11
|
5.3.
|
Обеспечение физической безопасности
|
12
|
5.3.1.
|
Организация охраны
|
12
|
5.3.2.
|
Контроль доступа
|
12
|
5.3.3.
|
Контроль нахождения посторонних лиц в помещениях
|
13
|
5.3.4.
|
Эксплуатация электронных устройств
|
14
|
5.4.
|
Парольная защита
|
15
|
5.4.1.
|
Порядок создания пароля
|
16
|
5.4.2.
|
Регулярность смены пароля
|
16
|
5.4.3.
|
Восстановление пароля
|
17
|
5.4.4.
|
Хранение пароля и передача его третьим лицам
|
18
|
5.5.
|
Обеспечение антивирусной защиты
|
19
|
5.5.1.
|
Предотвращение выполнения вредоносного кода
|
19
|
5.5.2.
|
Обнаружение вредоносного кода
|
21
|
5.6.
|
Межсетевое экранирование
|
21
|
5.6.1.
|
Требования по размещению межсетевых экранов
|
22
|
5.6.2.
|
Требования по развертыванию межсетевых экранов
|
22
|
5.6.3.
|
Требования по обеспечению безопасности межсетевых экранов
|
23
|
5.6.4.
|
Использование демилитаризованных зон
|
24
|
5.6.5.
|
Восстановление межсетевых экранов
|
24
|
5.6.6.
|
Тестирование межсетевых экранов
|
25
|
5.7.
|
Использования сетей общего пользования
|
26
|
5.7.1.
|
Обеспечение безопасности использования сетей общего пользования
|
26
|
5.7.2.
|
Ограничение предоставления доступа к СОП
|
27
|
5.7.3.
|
Ограничения использования сетей общего пользования
|
27
|
5.7.4.
|
Правила использования сетей общего пользования
|
28
|
5.7.5.
|
Анализ использования пользователем сетей общего пользования
|
29
|
5.7.6.
|
Сообщение о проблемах безопасности при работе с СОП
|
30
|
5.8.
|
Использование электронной почты
|
30
|
5.8.1.
|
Правила использования системы электронной почты
|
31
|
5.8.2.
|
Безопасность при использовании системы электронной почты
|
32
|
5.8.3.
|
Хранение сообщений системы электронной почты
|
33
|
5.8.4.
|
Стиль сообщений системы электронной почты
|
33
|
5.9.
|
Резервное копирование
|
33
|
5.9.1.
|
Порядок резервного копирования рабочей информации
|
34
|
5.9.2.
|
Порядок хранения резервных копий
|
34
|
5.10.
|
Использование беспроводных сетей
|
35
|
5.11.
|
Использование средств криптографической защиты
|
35
|
5.11.1.
|
Управление ключами
|
36
|
5.11.2.
|
Использование электронной подписи
|
37
|
5.11.3.
|
Использование средств криптографической защиты для построения виртуальных частных сетей
|
38
|
5.11.4.
|
Компрометация ключей
|
38
|
5.12.
|
Использование мобильных устройств
|
38
|
5.13.
|
Использование отчуждаемых устройств
|
39
|
5.14.
|
Обеспечение сетевой безопасности
|
41
|
5.14.1.
|
Построение локальных вычислительных сетей Учреждения
|
42
|
5.14.2.
|
Организация коммутируемого доступа в локальные вычислительные сети Учреждения
|
43
|
5.14.3.
|
Организация межсетевого взаимодействия с третьими лицами
|
44
|
5.14.4.
|
Обеспечение безопасности маршрутизаторов
|
44
|
5.14.5.
|
Использование официальных сайтов
|
45
|
5.14.6.
|
Ограничения по использованию локальных вычислительных сетей Учреждения
|
45
|
5.15.
|
Управление доступом к ресурсам
|
45
|
5.15.1.
|
Общие правила доступа к локальным вычислительным сетям Учреждения
|
47
|
5.15.2.
|
Идентификатор учетной записи
|
47
|
5.15.3.
|
Учетные записи специальных типов
|
49
|
5.15.4.
|
Требования по настройке системы управления доступом
|
49
|
5.15.5.
|
Требования безопасности по использованию системы управления доступа
|
50
|
5.16.
|
Управление персоналом
|
50
|
5.16.1.
|
Требования до приема на работу
|
51
|
5.16.2.
|
Требования при выполнении должностных обязанностей
|
51
|
5.16.3.
|
Требования при прекращении выполнения должностных обязанностей
|
52
|
5.17.
|
Повышение осведомленности персонала в области информационной безопасности
|
53
|
5.18.
|
Обеспечение информационной безопасности при взаимодействии с третьими лицами
|
53
|
5.18.1.
|
Требования к передаче информации
|
54
|
5.18.2.
|
Ограничения при передаче информации
|
54
|
5.18.3.
|
Передача информации третьих лиц
|
55
|
5.18.4.
|
Размещение информации в общедоступных ресурсах
|
55
|
5.18.5.
|
Несанкционированная передача информации
|
55
|
5.19.
|
Обеспечение соответствия информационной безопасности требованиям нормативно-правовых актов Российской Федерации
|
56
|
6.
|
Ответственность
|
57
|
1.Термины и определения
Безопасность информации ограниченного доступа – состояние защищенности информации ограниченного доступа, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах с информацией ограниченного доступа.
Доступ к информации – возможность получения информации и ее использования.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Информация ограниченного доступа – любая информация, отнесенная к конфиденциальной информации, а именно: персональные данные, служебная тайна, врачебная тайна или иная информация, доступ к которой ограничен в соответствии с нормативно-правовыми актами Российской Федерации.
Информационная система с информацией ограниченного доступа – информационная система, представляющая собой совокупность информации ограниченного доступа, содержащихся в базе данных или в виде отдельных файлов с данными, а также информационных технологий и технических средств, позволяющих осуществлять обработку такой информации с использованием средств автоматизации или без использования таких средств.
Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Неправомерные действия с информацией ограниченного доступа – преднамеренное или случайное несанкционированное ознакомление с информацией ограниченного доступа, ее копирование, распространение, передача, уничтожение, изменение (модификация), блокирование, а также любое иное несанкционированное использование, которое может нанести ущерб Обществу или государству.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа.
Обработка информации ограниченного доступа – действия (операции) с информацией ограниченного доступа, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), блокирование, уничтожение.
Пароль – секретная (конфиденциальная) строка символов (букв, цифр, специальных символов), предъявляемая пользователем компьютерной системы для получения доступа к данным и программам; является средством защиты данных от несанкционированного доступа.
Пользователь – работник, использующий ресурсы информационной системы для выполнения должностных обязанностей.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Распространение информации ограниченного доступа – действия, направленные на передачу такой информации определенному кругу лиц или на ознакомление с информацией ограниченного доступа неограниченного круга лиц, в том числе ее обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ней каким-либо иным способом.
Технические средства информационной системы–средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации ограниченного доступа (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
2.Общие положения
Необходимость разработки настоящей Политики информационной безопасности Учреждения здравоохранения Сахалинский области (далее – Политика) обусловлена применением новейших информационных технологий и процессов при обработке информации вообще, и информации ограниченного доступа в частности.
Законодательной основой настоящей Политики являются Конституция Российской Федерации, Гражданский и Уголовный кодексы Российской Федерации, Федеральные конституционные законы Российской Федерации, федеральные законы Российской Федерации, Указы и распоряжения Президента Российской Федерации, постановления и распоряжения Правительства Российской Федерации, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации, Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Политика является основой для:
-
формирования и проведения единого подхода в области обеспечения безопасности информации в ГБУЗ "Невельская ЦРБ" (далее – Учреждение);
-
принятия управленческих решений и разработки практических мер по воплощению Политики и выработки комплекса согласованных мер, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз информационной безопасности;
-
координации деятельности Учреждения при проведении работ по созданию, развитию и эксплуатации информационных технологий с соблюдением требований по обеспечению информационной безопасности;
-
разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения информационной безопасности.
3.Цель
Основными целями данной Политики являются:
-
установка правил размещения информации на официальных информационных ресурсах Учреждения;
-
установка правил использования программного обеспечения в Учреждении;
-
установка правил обеспечения сохранности имущества, а также правил его эксплуатации, необходимых для обеспечения информационной безопасности в Учреждении;
-
установка правил создания, передачи и обеспечения сохранности паролей;
-
установка правил предотвращения, обнаружения и устранения последствий компьютерных вирусов и вредоносных программ;
-
установка правил использования межсетевых экранов, их развертывания, обеспечения безопасности и тестирования;
-
установка правил получения доступа к сетям общего пользования, правил работы в них, ограничений по их использованию, обеспечению безопасности при работе с ними и действия при их нарушении;
-
установка правил использования электронной почты;
-
установка правил резервного копирования информации в электронном виде;
-
установка правил использования беспроводных сетей;
-
установка правил использования средств криптографической защиты информации, обеспечение выполнения требований нормативно-правовых актов Российской Федерации по порядку использования средств криптографической защиты информации;
-
установка правил использования мобильных устройств, обеспечения их безопасности и сохранности;
-
установка правил использования отчуждаемых устройств, обеспечения их безопасности и сохранности;
-
установка правил работы в локальных вычислительных сетях, направленных на повышения безопасности их эксплуатации;
-
установка правил доступа к информационным ресурсам, направленных на повышение информационной безопасности;
-
совершенствование работы с кадровым составом (работниками) Учреждения, направленное на повышение безопасности информации;
-
выработка подходов к организации постоянного повышения осведомленности с кадрового состава (работников) Учреждения, направленное на повышение безопасности информации;
-
выработка подходов к организации взаимодействия с третьими лицами, направленных на повышение безопасности информации;
-
осуществление деятельности по обеспечению информационной безопасности в соответствии с требованиями нормативно-правовых актов Российской Федерации.
4.Область применения
Областью применения являются работники Учреждения, а также лица, состоящие в договорных отношениях с Учреждением, подразумевающих исполнение требований настоящей Политики и имеющие доступ к информационным ресурсам Учреждения.
5.Меры обеспечения информационной безопасности
-
Размещение информации на официальных информационных ресурсах
Официальные материалы, подлежащие размещению на официальных информационных ресурсах Учреждения. Дополнительно допускается размещение в прочих официальных информационных ресурсах.
Содержание официальных материалов должно удовлетворять требованиям нормативно-правовых актов Российской Федерации. Ответственность за соответствие содержания официальных материалов требованиям нормативно-правовых актов Российской Федерации возлагается на работника, уполномоченного и согласовавшего размещение таковых материалов.
Размещение официальных материалов на официальных интернет-порталах осуществляется Учреждением самостоятельно, за исключением случаев, предусмотренных прочими нормативными документами.
Содержание официальных материалов должно быть общедоступно и содержать свободно распространяемую информацию.
Размещение в официальных материалах информации (материалов) из сторонних источников (авторов) должно осуществляться с соблюдением требований нормативно-правовых актов Российской Федерации в сфере защиты авторских прав и интеллектуальной собственности.
В соответствии с нормативными правовыми актами Российской Федерации публикация в официальных материалах информации ограниченного доступа и составляющих государственную тайну запрещена.
Обладателем информации, публикуемой на официальных интернет-порталах, является Учреждение, предоставляющее данные материалы.
-
Использование программного обеспечения
Программное обеспечение, используемое для осуществления деятельности Учреждения, должно соответствовать условиям его лицензирования (независимо от того, является ли оно коммерческим или свободно распространяемым) и использоваться строго в соответствии с лицензионным соглашением. Случаи хранения и/или использования программного обеспечения, не являющегося лицензионным, должны быть исключены.
В случае, если нормативно-правовыми актами Российской Федерации предъявляются особые требования к программному обеспечению (например, требование по сертификации такого программного обеспечения уполномоченными организациям и т.п.) необходимо обеспечить выполнение подобных требований.
На каждое автоматизированное рабочее место должен быть установлен комплект программного обеспечения, необходимый и достаточный для выполнения на нем поставленных задач.
Учреждение предоставляет работникам достаточное количество лицензий на использование программного обеспечения, необходимого для выполнения работником своих должностных обязанностей.
-
Поделитесь с Вашими друзьями: |