Политика информационной безопасности в Государственном бюджетном учреждении здравоохранения Сахалинской области "Невельская центральная районная больница"


Обеспечение физической безопасности



Скачать 286.5 Kb.
страница2/4
Дата09.08.2019
Размер286.5 Kb.
#127734
1   2   3   4

Обеспечение физической безопасности

Все серверные помещения Учреждения должны отвечать требованиям нормативно-правовых актов Российской Федерации в части оборудования устройствами сигнализации (например, пожарной, охранной и т.п.).

Помещения, которые должны быть оборудованы дополнительными устройствами регистрации, контроля и поддержания заданных характеристик (например, система автоматического пожаротушения, контроля влажности, принудительной вентиляции, кондиционирования воздуха, защиты от статического электричества и т.п.), в соответствии с нормативно-правовыми актами Российской Федерации или правилами эксплуатации оборудования, размещенного в таких помещениях, и требуемых для соблюдения гарантийных обязательств производителя, должны быть полностью укомплектованы подобными устройствами.



      1. Организация охраны

В помещениях, в которых размещается имущество Учреждения, должна иметься возможность организации круглосуточной охраны. В помещениях, расположенных в зданиях, в которых возможно использование услуг служб централизованной охраны здания, охрана должна осуществляться силами таких служб. В помещениях, расположенных в зданиях без служб централизованной охраны, охрана должна осуществляться за счет привлечения специализированных организаций, предоставляющих услуги по круглосуточной охране.

      1. Контроль доступа

Все помещения Учреждения должны быть оборудованы дверьми, закрываемыми на замок.

Должен быть предусмотрен механизм установления личности, осуществляющей санкционированное вскрытие помещений (например, проверка удостоверения личности, применение систем контроля и управления доступом, роспись за получения ключа от помещений на посту охраны и т.п.).

Отдельные группы помещений, нахождение в которых посторонних лиц не требуется (например, серверные и архивные помещения), могут отделяться дополнительными дверьми, иными средствами ограничения доступа.

Помещения, доступ в которые согласно нормативно-правовым актам Российской Федерации должен быть ограничен, а также в которых хранится или обрабатывается информация ограниченного доступа, хранятся товарно-материальные ценности и иные подобные помещения, должны быть оборудованы механизмом ограничения доступа (автоматизированная система контроля доступа, устройства для опечатывания и т.п.). Работники, имеющие право самостоятельного вскрытия таких помещений должны быть определены приказом, утверждаемым руководителем Учреждения. Двери в такие помещения должны быть оборудованы механизмом автоматического их закрытия.

Работники не должны оставлять свои рабочие кабинеты без наблюдения. В случае, если помещение остается без наблюдения, помещение должно быть закрыто на замок.


      1. Контроль нахождения посторонних лиц в помещениях

Проход посетителей или представителей сторонних организаций в здание и контроль их нахождения в помещениях, должен осуществляться в соответствии с организационно-распорядительными документами Учреждения по порядку обеспечения пропускного режима в задание.

Работники сторонних организаций (например, обслуживающий персонал здания, работники, осуществляющие сопровождение программного обеспечения, работник осуществляющие ремонт оборудования и т.п.) должны вызываться установленным порядком в случае такой необходимости. При приходе таких работников без предварительной заявки их допуск в помещения должен осуществляться только по согласованию с уполномоченным лицом Учреждения, в ведении которого предполагаются проводимые работы.



5.3.4. Эксплуатация электронных устройств

5.3.4.1. Безопасность эксплуатации

В соответствии с нормативными правовыми актами Российской Федерации размещение экранов автоматизированных рабочих мест, обрабатывающих информацию ограниченного доступа, должно исключать возможность их просмотра лицами, не допущенными к данной информации.

При использовании систем видеонаблюдения, такие системы должны быть установлены в местах, исключающих просмотр содержимого экранов автоматизированных рабочих мест, обрабатывающих информацию ограниченного доступа, а также исключающих просмотр вводимых паролей, кодов и т.п.

Системные блоки автоматизированных рабочих мест, периферийное оборудование, используемое для обработки информации ограниченного доступа, должно быть опечатано или оборудовано иным способом ограничения их несанкционированного вскрытия.



5.3.4.2. Ограничения при эксплуатации

Работникам запрещено подключать собственные технические средства, периферийные устройства, за исключением учтенных в Учреждении носителей информации, к автоматизированным рабочим местам и сети Учреждения без письменного согласования с ответственным за информационную безопасность.

Запрещено устанавливать собственные комплектующие в технические средства, находящиеся на балансе Учреждения.

5.3.4.3. Профилактическое обслуживание и иные правила эксплуатации

Все технические средства должны проходить техническое обслуживание. Такое обслуживание должно проводиться регулярно, но не реже сроков, указанных в эксплуатационной документации или организационно-распорядительных документах Учреждения.

Проведение технического обслуживания должно обеспечиваться работниками, уполномоченными для эксплуатации системного программного обеспечения и сетевых технологий Учреждения, при обязательном согласовании с ответственным за информационную безопасность в Учреждении (структурное подразделение по информационной безопасности) или производиться с привлечением квалифицированных специалистов сторонних организаций, имеющих необходимый перечень лицензий на осуществление отдельных видов деятельности, в соответствии с нормативными правовыми актами Российской Федерации.

Технические устройства, необходимые для выполнения работниками своих должностных обязанностей рекомендуется оборудовать сетевыми фильтрами.

Сетевые, питающие и иные кабеля должны быть проложены в соответствии с отраслевыми стандартами. Соблюдение отраслевых стандартов должно исключить повреждение таких кабелей при повседневной работе, а также минимизировать вероятность получения травм, вызванных нарушениями укладки таких кабелей.

5.3.4.4. Прекращение эксплуатации

Перед передачей (в том числе для ремонта) сторонним организациям, списанием или прекращением использования оборудования, участвовавшего в обработке информации ограниченного доступа, уполномоченными лицами должна быть проведена проверка, с целью исключения попадания такой информации третьим лицам.



    1. Парольная защита

Доступ к программному обеспечению, используемому пользователями и системными администраторами в рамках должностных обязанностей и подразумевающему наличие идентификации и аутентификации пользователя и/или разграничение полномочий без использования пароля запрещено.

Пароли доступа к различному прикладному программному обеспечению, используемому пользователями и администраторами в рамках должностных обязанностей должны отличаться от паролей доступа к автоматизированному рабочему месту или элементам сетевой инфраструктуры и не должны совпадать для различного программного обеспечения. Допускается совпадения паролей для программного обеспечения использующего для идентификации и аутентификации учетные записи в Active Directory.

В качестве паролей допускается использование только устойчивых паролей.

Работникам Учреждений, исполняющим обязанности системных администраторов и администраторов информационной безопасности запрещено отклоняться от настоящей Политики в целях удобства пользования.



      1. Порядок создания пароля

Создание пароля должно предусматривать создание первичного пароля системным администратором или администратором информационной безопасности, с последующей его сменой пользователем при первом запуске программного обеспечения. В случае если данная возможность не поддерживается программным обеспечением, пользователь обязан самостоятельно создать устойчивый пароль пользователя при первом запуске программного обеспечения.

Пароли не должны передаваться в электронных сообщениях или любых иных формах электронного обмена.



      1. Регулярность смены пароля

Системные пароли (например, пароль учетной записи Root, администратор, а также пароли, обеспечивающие возможность полного управления и настройки (включая изменения прав доступа) используемым в Учреждении программным обеспечением) должны меняться регулярно, но не реже одного раза в шесть месяцев.

Пароли пользователей (например, пароли учетной записи, электронной почты, удаленного доступа к базам данным) должны меняться регулярно, но не реже одного раза в год, если иное не определено нормативно-правовыми актами Российской Федерации и/или Сахалинской области.

В случае компрометации пароля необходимо его немедленное изменение, а также оповещение о данном факте уполномоченного лица в Учреждении. В случае компрометации пароля, используемого для аутентификации в сети Учреждения, ответственный за информационную безопасность.

Внеплановая смена паролей пользователя производится в случае прекращения его полномочий немедленно после окончания последнего сеанса работы данного пользователя с системой.

Полная внеплановая смена всех системных паролей и паролей пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и т.п.) любого из лиц, выполнявших должностные обязанности системного администратора и/или администратора информационной безопасности.


      1. Восстановление пароля

Восстановление забытых паролей пользователей осуществляется системным администратором или администратором информационной безопасности, путем сброса забытого пароля и установления первичного пароля. В случае, если установка первичного пароля не поддерживается программным обеспечением, системный администратор или администратор информационной безопасности осуществляет сброс забытого пароля, а пользователь обязан самостоятельно создать устойчивый пароль пользователя при первом запуске программного обеспечения.

Основанием для смены пароля может являться только заявка в письменной форме.




      1. Хранение пароля и передача его третьим лицам

Пользователи не должны сообщать свои пароли третьим лицам, включая руководителей и лиц, осуществляющих сопровождение программного обеспечения, включая системных администраторов или администраторов информационной безопасности. В исключительных случаях, системный администратор или администратор информационной безопасности может запросить пароль пользователя для специализированного программного обеспечения, для осуществления проверки его работоспособности. В таком случае пароль сообщается администратору пользователем лично и подлежит замене, после проверки работоспособности программного обеспечения.

Хранение пользователями любых паролей в электронном или физическом виде на любом, в том числе личном, носителе информации (в виде отдельных файлов, записей в ежедневниках и т.п.), разрешено при условии исключения возможности получения доступа к паролям третьих лиц.

Запрещено использование функций программного обеспечения или операционной системы, позволяющих исключить ввод пароля при повторных запусках.

Хранение паролей системными администраторами и администраторами информационной безопасности, допускается при применении средств криптографической защиты информации (далее – СКЗИ), при этом хранение системных паролей в электронном виде – запрещено. Использование администраторами и администраторами информационной безопасности функций программного обеспечения, позволяющего исключить ввод пароля при повторных запусках, возможно в исключительных случаях (например, в системе резервного копирования, системе антивирусной защиты).

Допускается хранение пароля на индивидуальном носителе (смарт-карта, электронный идентификатор touch memory и т.д.). В таком случае пользователь несет персональную ответственность за сохранность данного индивидуального носителя, а также обязуется вернуть его по запросу работника Учреждения, выдавшего его, или при прекращении полномочий.


    1. Обеспечение антивирусной защиты

Антивирусное программное обеспечение должно быть установлено и функционировать в штатном режиме на всех межсетевых экранах (в программном исполнении), FTP-серверах, почтовых и прочих серверах Учреждения, автоматизированных рабочих местах отдельно стоящих и подключенных к локальным вычислительным сетям (в том числе к корпоративной сети Учреждения) и портативных компьютерах.

Не допускается такое изменение настроек системы антивирусной защиты, в части оповещения о нахождении компьютерных вирусов или вредоносных программ, в результате которого уменьшается эффективность данной системы.

Обновление баз системы антивирусной защиты должно производиться регулярно. Построение системы антивирусной защиты должно предусматривать возможность обновления ее антивирусных баз и компонентов производителем по мере их создания. В случае невозможности такого построения системы (например, отдельно стоящие автоматизированные рабочие места в удаленных подразделениях не подключенные к каким-либо сетям), обновление системы антивирусной защиты должно производиться с регулярностью, обеспечивающей ее эффективное функционирование.

Запрещается отключение системы антивирусной защиты, за исключением случаев проведения тестирования программного обеспечения и иных тестов, проводимых уполномоченными работниками Учреждения.



      1. Предотвращение выполнения вредоносного кода

Учреждение обязано производить сканирование своих информационных ресурсов, а также всех автоматизированных рабочих мест на наличие компьютерных вирусов и/или вредоносных программ.

Файлы, полученные любым образом, с любых носителей информации или сетей общего пользования должны быть проверены на наличие вредоносного кода.

Подключение к автоматизированным рабочим местам незарегистрированных отчуждаемых носителей информации (дискеты, компакт-диски, съемные жесткие диски, сотовые телефоны, карманные персональные компьютеры, фотоаппараты и иные носители информации) разрешено с обязательной проверкой «по требованию» таких носителей информации на наличие компьютерных вирусов и/или вредоносных программ после согласования с ответственным за информационную безопасность в Учреждении.

В случае получения файлов, проверка которых в исходном состоянии невозможна (например, файлы содержат архивы, не поддерживаемые системой антивирусной защиты, файлы прошли криптографическое преобразование и т.п.), необходимо, привести данные файлы к состоянию пригодному для проверки на наличие вредоносного кода (на автоматизированном рабочем месте, не подключенном к локальным вычислительным сетям Учреждения), осуществить такую проверку, после чего принимать решение о возможности использования данных файлов.

Пользователи, которые в соответствии с должностными обязанностями используют портативные компьютеры, должны в обязательном порядке соблюдать требования настоящей Политики в их отношении.

Все файлы, передаваемые третьим лицам, должны быть проверены на наличие вредоносного кода системой антивирусной защиты до их передачи.

Любые намеренные попытки написания, компиляции, хранения, запуска, пропагандирования или распространения пользователями компьютерных вирусов или вредоносных программ, а также иного кода предназначенного для саморазмножения, нанесения ущерба или снижения производительности систем Учреждения, запрещены.


      1. Обнаружение вредоносного кода

В случае обнаружения системой антивирусной защиты компьютерного вируса или вредоносной программы пользователь обязан выключить компьютер и сообщить об этом уполномоченному работнику Учреждения.

О любом инциденте, связанном с выявлением компьютерного вируса или вредоносных программ, на автоматизированном рабочем месте или портативном компьютере, подключаемом к сети Учреждения, должно быть сообщено ответственному за информационную безопасность Учреждения.

Самостоятельные попытки пользователя по удалению компьютерного вируса или вредоносной программы запрещены.

В случае обнаружения в сети Учреждения компьютерных вирусов или вредоносных программ в сообщениях электронной почты, систем мгновенного обмена сообщениями и т.п., данные сообщения будут удалены.

Файлы, содержащие вредоносный код, должны быть удалены системой антивирусной защиты.


    1. Межсетевое экранирование

Для обеспечения информационной безопасности при присоединении к локальным вычислительным сетям сторонних организаций, такие присоединения должны быть защищены межсетевыми экранами, не зависимо от используемых технологий подключения (например, подключение с использование беспроводных сетей, модемов и т.п.), отвечающих требованиям нормативно-правовых актов Российской Федерации.

Компьютеры, обрабатывающие информацию ограниченного доступа, должны быть отделены от остальной части сети межсетевыми экранами, отвечающими требованиям нормативно-правовых актов Российской Федерации, в соответствии с типом такой информации. Допускается как группировка автоматизированных рабочих мест по типу обрабатываемой информации и отделение всей группы одним межсетевым экраном, так и установка персональных межсетевых экранов на каждое автоматизированное рабочее место.



      1. Требования по размещению межсетевых экранов

Межсетевые экраны, отделяющие большие группы автоматизированных рабочих мест, включая межсетевые экраны, отделяющие внутреннюю часть локальных вычислительных сеть от сетей общего пользования, должны быть установлены в помещениях с контролируемым доступом (в случае программного исполнения межсетевых экранов, они должны устанавливаться на автоматизированных рабочих местах, расположенных в помещениях с контролируемым доступом).

Межсетевые экраны, отделяющие большие группы автоматизированных рабочих мест, включая межсетевые экраны отделяющие внутреннюю сеть от сетей общего пользования, должны быть установлены на специализированных аппаратных платформах или на выделенных (физических или виртуальных) автоматизированных рабочих местах, не выполняющих дополнительные функции. На автоматизированных рабочих местах с развернутыми межсетевыми экранами, отделяющих внутреннюю сеть от сетей общего пользования и/или большую группу автоматизированных рабочих мест, разрешено хранение только информации, необходимой для выполнения межсетевым экраном своих функций. На таких автоматизированных рабочих местах должен быть установлен минимальный набор программного обеспечения, необходимый для выполнения межсетевым экраном своих функций.



      1. Требования по развертыванию межсетевых экранов

Перед развертыванием межсетевого экрана, ответственным за информационную безопасность Учреждения должна быть составлена диаграмма разрешенных маршрутов, с описанием протоколов, разрешенных к применению на данных маршрутах. Разрешение на использование маршрутов и протоколов предоставляется только в случае их необходимости для выполнения Учреждением его функций и задач, выполнения должностных обязанностей его работниками, и в случае достаточности принятых мер для обеспечения безопасности их использования. Соответствие настроек межсетевых экранов данным диаграммам должно проверятся уполномоченными лицами (ответственными за информационную безопасность) регулярно, но не реже 2 раз в год.

При однотипности настройки нескольких межсетевых экранов допускается использование описания групповых политик (например, настройка межсетевых экранов бухгалтерии, настройка персональных межсетевых экранов руководителей структурных подразделений Учреждения и т.п.).

Использование всех маршрутов и протоколов, которое отдельно не разрешено данной Политикой или сопутствующими документами, разработанными ответственным за информационную безопасность Учреждения должно блокироваться устройствами межсетевого экранирования. Перечень разрешенных, на текущий момент времени, маршрутов и протоколов должен находится у уполномоченного работника (ответственного за информационную безопасность Учреждения).


      1. Требования по обеспечению безопасности межсетевых экранов

Все межсетевые экраны должны иметь уникальные пароли и/или другие дополнительные механизмы контроля доступа. В случаях, когда производителем межсетевого экрана поддерживается механизм усиленной аутентификации, данный механизм должен быть задействован. Доступ к механизмам настройки систем межсетевого экранирования должен осуществляться либо непосредственно с автоматизированного рабочего места, на котором развернут межсетевой экран, либо удаленно (в случае удаленного доступа через сети общего пользования необходимо использование криптографического преобразования передаваемой информации).

Доступ к информации о внутренней адресации, конфигурации сети, используемом программном обеспечении и любая подобная информация о структуре сети, из сетей общего пользования должен быть максимально ограничен.

Программное обеспечение межсетевых экранов должно быть обновлено до последней версии, в рамках имеющихся лицензионных соглашений. В случае поддержки программным обеспечением межсетевых экранов механизма автоматического обновления, такой механизм должен использоваться. В ином случае все обновления должны устанавливаться в течение двух рабочих дней после их предоставления производителем.


      1. Использование демилитаризованных зон

Сервера Учреждения, предназначенные для доступа из сетей общего пользования, должны быть вынесены в демилитаризованную зону, подсеть, защищенную от доступа, как из сетей общего пользования, так и из внутренних локальных вычислительных сетей Учреждения одним или несколькими межсетевыми экранами.

Любое прямое подключение к ресурсам демилитаризованной зоны, не проходящее через межсетевой экран, запрещено.



      1. Восстановление межсетевых экранов

Актуальная резервная копия конфигурационных файлов межсетевых экранов, используемые правила, документы, регламентирующих эксплуатацию и настройку межсетевых экранов должны находиться в доступности системных администраторов и администраторов информационной безопасности Учреждения, но исключать возможность получения доступа со стороны третьих лиц. В случае поддержкой производителем автоматического резервного копирования конфигурационных файлов и восстановление из резервных копий при несанкционированном их изменении, данные механизмы должны быть задействованы.

      1. Тестирование межсетевых экранов

Тестирование межсетевых экранов должно производиться регулярно, но не реже двух раз в год. Процесс тестирования должен включать проверку соответствия параметров настройки межсетевого экрана согласованным требованиям к его настройке и реальной ситуации, перечня разрешенных протоколов, перечня разрешенных маршрутов, анализ журнала регистрации событий, установки последних обновлений. При проведении тестирования допускается проведение «тестов на проникновение», которое, в то же время, не является обязательным. Проведение «теста на проникновение» должно осуществляться только с привлечением сторонних организаций, имеющих соответствующих специалистов. При проведении «теста на проникновение» правила его проведения и соглашение о конфиденциальности с его участниками должны быть согласованы с отделом по защите информации Учреждения и подписаны официальными представителями участников.

Для проведения различного рода анализов, программное обеспечение межсетевых экранов должно быть настроено на автоматическое сохранение следующих событий (ведение log-файлов):



  • внесение изменений в параметры настройки межсетевого экрана;

  • изменение разрешенных протоколов;

  • изменение разрешенных маршрутов;

  • несанкционированный доступ или попытки несанкционированного доступа к настройкам межсетевых экранов;

  • обход используемых механизмов защиты или его попытки.

При наличии возможности log-файлы должны быть защищены от несанкционированного изменения с применением электронной подписи, криптографического преобразования или иных схожих мер. Log-файлы должны регулярно, но не реже одного раза в месяц, подвергаться резервному копированию. Срок хранения log-файлов должен составлять не менее шести месяцев. Содержимое log-файлов должно регулярно, но не реже двух раз в год, анализироваться для подтверждения правильности функционирования межсетевого экрана.

    1. Каталог: wp-content -> uploads -> 2017
      2017 -> Свод правил по безопасной работе сотрудников органов исполнительной власти Самарской области, государственных органов Самарской области
      2017 -> Руководство по эксплуатации общие сведения. «Жидкий акрил»
      2017 -> О восстановлении пропущенного срока на подачу апелляционной жалобы
      2017 -> Решение по гражданскому делу по моему иску к Петрову А. Н о выселении. В удовлетворении исковых требований мне было отказано в полном объеме
      2017 -> Ротавирусная инфекция Профилактика острой кишечной инфекции

      Скачать 286.5 Kb.

      Поделитесь с Вашими друзьями:
1   2   3   4




База данных защищена авторским правом ©vossta.ru 2022
обратиться к администрации

    Главная страница