Политика информационной безопасности в Государственном бюджетном учреждении здравоохранения Сахалинской области "Невельская центральная районная больница"


Использование сетей общего пользования



Скачать 286.5 Kb.
страница3/4
Дата09.08.2019
Размер286.5 Kb.
#127734
1   2   3   4

Использование сетей общего пользования

Вся информация, полученная из сетей общего пользования, должна считаться недостоверной, не будучи подтвержденной из других источников. Перед использованием свободно распространяемой информации из сетей общего пользования для принятия решений в рамках деятельности Учреждения, такая информация должна быть перепроверена в других источниках.

Учреждение не несет ответственности за информацию, содержащуюся в сетях общего пользования. В случае открытия пользователем ресурсов, содержание которых может считаться незаконным или оскорбительным, например, материалы сексуального характера, расистские, дискредитирующие, оскорбительные, непристойные, уничижительные, дискриминационные, угрожающие, пользователь обязан прекратить работу с данным ресурсом.



      1. Обеспечение безопасности использования сетей общего пользования

Для получения возможности доступа пользователя в сети общего пользования (далее – СОП) необходимо использование технологий идентификации и аутентификации, а также должны быть обеспечены механизмы защиты информационных ресурсов Учреждения от воздействия из сетей общего пользования.

Пользователям запрещено использование любых способов доступа в сети общего пользования (например, dial-up доступ, использование для соединения с СОП операторов сотовой связи и т.п.) отличных от установленных. В случаях, если необходимо осуществлять доступ в сети общего пользования, отличный от установленных (для работы с банковскими системами и т.п.), то такой доступ должен быть согласован с уполномоченным работником Учреждения.

Передача информации ограниченного доступа по сетям общего пользования, допускается при условии соблюдения всех требований, определяемых нормативными правовыми актами Российской Федерации, к такой передаче.

Пользователю запрещено любое тестирование и/или попытки обхода установленных механизмов защиты.



      1. Ограничение предоставления доступа к СОП

Запрещено предоставлять доступ в сети общего пользования стороннему обслуживающему персоналу и иным лицам, состоящим в договорных отношениях с Учреждением, за исключением случаев, когда такой доступ необходим для решения данными лицами задач в их интересах. Доступ может быть предоставлен только по согласованию с отделом по защите информации Учреждения.

Получение доступа пользователя к ресурсам сети общего пользования, не означает, что пользователь имеет неограниченные возможности при работе с данным ресурсом. Уполномоченными работниками Учреждения могут приниматься меры по предотвращению отдельных действий пользователя при работе с ресурсами сетей общего пользования, как-то ограничение по загрузке отдельных файлов, отображение объявлений рекламного, порнографического и иного характера и т.п.



      1. Ограничения использования сетей общего пользования

Использование СОП для личных нужд пользователя запрещен. Доступ пользователей предоставляется к определенным информационным ресурсам СОП, необходимость использования которых обусловлена выполнением должностных обязанностей. В отдельных случаях, пользователям может быть предоставлен неограниченный доступ к ресурсам СОП. Доступ предоставляется по письменной заявке, согласованной работником ответственным за информационную безопасность Учреждения. Использование ресурсов Учреждения для участия в игровых, развлекательных и иных ресурсах (включая конкурсы, выставки, социальные сети и иные Интернет сообщества) запрещено. В отдельных случаях, по указанию директора Учреждения, пользователям могут предоставляться дополнительные права для работы с такими ресурсами.

Пользователь обязан понимать, что при работе в СОП передаваемые данные, не прошедшие криптографическое преобразование, доступны для просмотра третьими лицами. Передача информации ограниченного доступа без соблюдения требований, предъявляемых к ее передаче по СОП, запрещена.

Пользователям запрещена загрузка любого программного обеспечения из СОП. В исключительных случаях, когда загрузка такого программного обеспечения продиктована выполнением Учреждением его функций и задач, загрузка программного обеспечения из сетей общего пользования осуществляется уполномоченными работниками после согласования со специалистами по системному программному обеспечению и сетевым технологиям, а также с работником ответственным за информационную безопасность Учреждения.

Пользователям запрещено участвовать в обмене пиратским программным обеспечением, серийными номерами программного обеспечения, номерами украденных кредитных карт и ином обмене, нарушающем и/или ущемляющем права правообладателей обмениваемой информации.



      1. Правила использования сетей общего пользования

Искажение, маскировка или замена идентификационной информации пользователя в СОП или в любых системах электронного обмена информации запрещена. Имя пользователя, адреса корпоративной электронной почты, служебное и иная сопутствующая информация, указываемая в сообщениях или размещаемая в сетях общего пользования, должна отражать достоверную информацию об авторе сообщения или размещаемой информации. Использование пользователем любого программного обеспечения, технических средств и технологий, предполагающих анонимность действий пользователей, запрещено.

Пользователям запрещено размещать любую информацию о деятельности Учреждения в СОП, кроме информации, размещаемой в соответствии с требования нормативно-методических документов Российской Федерации.

В любых сообщениях и публикациях в СОП, в которых есть ссылка на аффилированность пользователя с Учреждением, не допускается использование агрессивных высказываний. Пользователю запрещено угрожать как отдельным личностям, так и организациям. Сообщения и публикации с информацией раздражающей, надоедающей и беспокоящей других лиц запрещено.


      1. Анализ использования пользователем сетей общего пользования

В целях выявления нецелевого использования ресурсов, Учреждение может собирать информацию о посещенных пользователем ресурсах сетей общего пользования, загруженных файлах, времени, проведенном на отдельных ресурсах сетей общего пользования и иной связанной информации. Данная информация может быть использована для анализа использования пользователем сетей общего пользования в соответствии с предоставленными ему полномочиями, в рамках выполнения пользователем своих должностных обязанностей.

В любое время, без предварительного предупреждения, работник ответственный за информационную безопасность Учреждения в праве провести анализ передаваемых электронных сообщений, содержимого log-файлов, файлов, размещенных на автоматизированном рабочем месте пользователя, их настройку и конфигурацию, установленного на них программного обеспечения, а также любой другой информации находящейся на автоматизированном рабочем месте пользователя или передаваемой по локальным вычислительным сетям Учреждения или за ее пределы.



      1. Сообщение о проблемах безопасности при работе с СОП

В случае перехвата информации или подозрения на него, пользователь обязан сообщить работнику ответственному за информационную безопасность Учреждения. В случае нарушений правил работы с СОП или подозрений на подобные нарушения работник обязан сообщить уполномоченному работнику по информационной безопасности Учреждения. В случае утраты, хищения или компрометации паролей, или иной идентификационной информации, или подозрении на данные события работник обязан уведомить уполномоченного по информационной безопасности Учреждения

В случае получения сообщения о выявленной уязвимости, пользователь обязан передать данное сообщение работнику ответственному за информационную безопасность Учреждения. Пользователю запрещено предпринимать любые самостоятельные попытки устранения уязвимостей, кроме указаний администраторов информационной безопасности. Пользователю запрещено самостоятельно передавать информацию о выявленных или потенциальных уязвимостях другим пользователям.



    1. Использование электронной почты

      1. Правила использования системы электронной почты

Все системы электронной почты должны быть использованы пользователями только для выполнения должностных обязанностей, выполнения договорных обязательств и выполнения требований нормативных правовых актов Российской Федерации.

Запрещено использовать электронную почту для отправления писем следующего содержания:

писем, содержание которых может считаться незаконным или оскорбительным, например, материалы сексуального характера, расистские, дискредитирующие, оскорбительные, непристойные, уничижительные, дискриминационные, угрожающие, или иные подобные сообщения;


  • любых подрывных, оскорбительных, неэтичных, незаконных или иначе недопустимых материалов, включая оскорбительные комментарии по поводу расы, пола, цвета, инвалидности, возрасте, сексуальной ориентации, порнографии, терроризма, религиозных убеждений и верований, политических убеждений или о национальном происхождении, гиперссылок или других ссылок на неприличные или очевидно оскорбительные веб-сайты и подобные материалы, шутки, массовые рассылки, предупреждений о вирусах и розыгрышей, обращений о помощи или вредоносного кода;

писем, написанных таким образом, который может быть интерпретирован как официальная позиция или высказывание Учреждения, если это не разрешено в соответствии с нормативно-методическими документами Сахалинской области.

Запрещено использовать корпоративную электронную почту в следующих целях:



  • отправки сообщения с чужого почтового ящика или от чужого имени;

отправки сообщений в личных или благотворительных целях, не связанных с задачами Учреждения;

отправки большого объема данных (более 15 Мбайт);

отправки и пересылки писем, пересылаемых по цепочке («письма счастья»);

массовой рассылки писем, кроме случаев, когда необходимо оповещение большого числа работников Учреждения или в случаях, когда это обусловлено выполнением функций и задач Учреждения;

в любых других незаконных, неэтичных и неразрешенных целях.

Работники, получившие электронную почту от другого пользователя, с сообщениями, содержащими запрещенное содержание обязаны уведомить о таком факте уполномоченного работника Учреждения.

Пользователям запрещено использование внешних почтовых программ (например, «Яндекс почта», «почта mail.ru» и т.п.) для ведения официальной переписки при исполнении должностных обязанностей.

Для отправки и/или получения сообщений, в рамках выполнения должностных обязанностей и/или относящихся к работе Учреждения, пользователям разрешено использовать только адреса корпоративной электронной почты.

В исключительных случаях, пользователь может принять решение об использовании системы электронной почты, отличной от корпоративной. При этом должны выполняться остальные положения настоящей Политики и требования нормативно-правовых актов Российской Федерации, Сахалинской области и организационно-распорядительные документы Учреждения.


      1. Безопасность при использовании системы электронной почты

Использование всех систем электронной почты должно осуществляться с применением технологий идентификации и аутентификации пользователя.

Отправка электронной почты, содержащей информацию ограниченного доступа, должна осуществляться в соответствии с требованиями, предъявляемыми к такой информации.

Пользователям запрещено открывать вложения в электронные сообщения, в случае если отправитель данного сообщения не известен пользователю. Открывать вложения от неизвестных отправителей допускается только системным администраторам и администраторам информационной безопасности.

Пользователям запрещено отвечать на запросы любой персональной идентификационной информации, включая пароли, коды доступа, номера кредитных карт и т.п. В случае получения сообщений с такими запросами пользователь обязан сообщить о них работнику ответственному за информационную безопасность Учреждения.

Пользователям запрещено публиковать свои адреса корпоративной электронной почты в сетях общего пользования и открытых источниках информации. В случае возникновения такой необходимости для выполнения Учреждением его функций и задач, публикация адреса корпоративной электронной почты возможна в соответствии с нормативно-методическими актами Сахалинской области.

Массовые рассылки, не относящиеся к деятельности Учреждения, приходящие на адреса корпоративной электронной почты будут удалены.

Пользователи должны сообщать работнику ответственному за информационную безопасность Учреждения о любых сообщениях, содержащих информацию о нарушении безопасности, выявленных уязвимостях и прочих предупреждениях.


      1. Хранение сообщений системы электронной почты

Пользователь обязан регулярно проводить анализ сообщений, удаляя те из них, удаление которых не влияет на нормальную работу Учреждения и выполнение должностных обязанностей другими работниками.

В случае необходимости резервного копирования сообщений корпоративной электронной почты пользователь обязан направить заявку специалисту по системному программному обеспечению и сетевым технологиям Учреждения.



      1. Стиль сообщений системы электронной почты

При ведении переписки с использованием системы электронной почты пользователи обязаны использовать деловой стиль общения, избегать фамильярности в обращении, не использовать жаргонизмы и сознательно нарушать правила орфографии и пунктуации.

    1. Резервное копирование

Резервное копирование информации, размещенной на автоматизированных рабочих местах пользователей сети Учреждения, может осуществляться Учреждением при наличии технической возможности.

Учреждение не несет ответственности за нарушение целостности и доступности рабочей информации в электронном виде, хранящейся на автоматизированных рабочих местах пользователя, если иное не определено нормативно-правовыми актами Российской Федерации.



      1. Порядок резервного копирования рабочей информации

Политика распространяется только на информацию, необходимую для выполнения Учреждением его функций и задач и хранящуюся на определенных серверах.

Резервное копирование электронной переписки не осуществляется.

Резервное копирование должно сочетать как минимум две технологии резервного копирования, одной из которых должна быть технология RAID, обеспечивающая повышенную надежность хранимой информации, используемая для создания дисковых массивов в серверах.

Регулярность создания резервных копий рабочей информации должна быть достаточной для продолжения выполнения Учреждением их функций и задач, в случае нарушения целостности и/или доступности рабочей информации на выделенных серверах, но не реже одного раза в день для ежедневно изменяющихся данных и одного раза в неделю для периодически изменяющихся данных. Копирования резервных копий на отчуждаемые носители (внешние дисковые хранилища, ленточные накопители и т.п.) должно осуществляться регулярно, но реже одного раза в месяц.

Все рабочая информация, хранящаяся на выделенных серверах и регулярно копируемая на отчуждаемые носители, должна быть доступна для дальнейшего восстановления.

Как минимум одна резервная копия рабочей информации должна храниться на отчуждаемом носителе.

Процессы резервного копирования и восстановления для каждого отдельного типа информации должны быть документированы и периодически пересматриваться.


      1. Порядок хранения резервных копий

Для хранения резервных копий на отчуждаемых носителях должны выбираться такие отчуждаемые носители, характеристики которых незначительно изменяются в течение предполагаемого времени хранения резервных копий.

Хранение резервных копий рабочей информации на отчуждаемых носителях должно осуществятся с организацией контролируемого доступа к данным носителям, их защитой от воздействия окружающей среды и не в одном помещении с серверами Учреждения, с которых осуществляется резервное копирование.

Условия хранения резервных копий информации ограниченного доступа должны отвечать требованиям нормативно-правовых документов Российской Федерации.

Срок хранения резервных копий на внешних носителях должен составлять не менее одного года, если иное не определено нормативно-правовыми актами Российской Федерации или внутренними организационно-распорядительными документами Учреждения.

Резервные копии, хранящиеся более одного года, должны ежегодно тестироваться, для подтверждения возможности их восстановления и использования.


    1. Использование беспроводных сетей

Использование беспроводных сетей для создания локальных вычислительных сетей или их частей в Учреждении запрещено.

Пользователям запрещено развертывание собственных беспроводных сетей на территории Учреждения.



    1. Использование средств криптографической защиты информации

Использование СКЗИ должно быть обусловлено требованиями нормативно-методических документов Российской Федерации и/или в соответствии с моделью нарушителя.

Деятельность с СКЗИ должна исключать нарушение законодательства Российской Федерации в области лицензирования. В случае, если предполагаемая деятельность с СКЗИ подразумевает необходимость получения лицензии, Учреждение обязано получить такую лицензию или привлекать для подобной деятельности сторонние организации, имеющие соответствующие лицензии.

При использовании СКЗИ для защиты информации ограниченного доступа данные криптографические средства должны соответствовать требованиям нормативно-правовым актам Российской Федерации, в том числе к их классу и сертификации.

Установка, настройка и техническое сопровождение СКЗИ должно осуществляться специалистами, прошедшими соответствующее обучение и не нарушать требования нормативно-правовых актов Российской Федерации.

Использование, в том числе хранение, СКЗИ должно отвечать требованиям законодательства Российской Федерации.

Перед использованием СКЗИ работники обязаны пройти обучение по порядку их использования.

Пользователям запрещено использование СКЗИ других пользователей, в том числе с целью выдать себя другого пользователя.


      1. Управление ключами

Генерация и управление ключами не должно нарушать требований нормативно-правовых актов Российской Федерации.

В качестве устройств хранения закрытого ключа электронной подписи (далее – ЭП) разрешено использование только аппаратных устройств (различные виды token, смарт-карты и т.п.). Использование дискет для хранения закрытых ключей электронной подписи допускается, в крайнем случае, если иные аппаратные устройства не поддерживаются данной системой ЭП.

Обмен сообщениями, подписанными ЭП, возможен только при действующем сертификате открытого ключа электронной подписи.

Срок действия ЭП не должен превышать одного года и трех месяцев.

Пользователям запрещено передавать закрытые ключи ЭП, сертификат открытого ключа ЭП третьим лицам, за исключением случаев принадлежности ЭП Учреждению, как юридическому лицу. В таком случае использование ЭП возможно группой лиц, определенных директором Учреждения. Учреждение должно обеспечить работникам необходимые условия для хранения носителей с ключевой информацией, исключающих их.

Пользователям запрещено осуществлять резервное копирование ключевой информации (в том числе закрытых ключей ЭП) или делать копии сертификатов открытых ключей ЭП.



      1. Использование электронной подписи

Для осуществления отдельных операций в своей деятельности Учреждением допускается использование ЭП, выданных различными удостоверяющими центрами (ЭП налоговой службы, УФК, пенсионного фонда, банков и т.п.).

Основанием для выдачи ЭП работнику Учреждения, для использования в информационных системах, является его заявление, утвержденное директором и содержащее реквизиты, необходимые для выдачи ЭП, в соответствии с требованиями удостоверяющего центра.

Ответственность за предоставление верных реквизитов и обеспечение соответствия порядка работы с электронной подписью требованиям нормативно-правовых актов Российской Федерации и удостоверяющего центра несет Учреждение и владелец ЭП в рамках своих полномочий.

Отправление сообщений, подписанных ЭП, разрешено только с адреса, указанного в сертификате владельца ЭП.

Передача ключей ЭП и сертификатов ЭП сторонним организациям может осуществляться с соблюдением требований нормативных правовых актов Российской Федерации.


      1. Использование средств криптографической защиты для построения виртуальных частных сетей

При необходимости использования средств криптографической защиты для построения виртуальных частных сетей, работник ответственный за информационную безопасность Учреждения определяет конкретный продукт, исходя из принципа совместимости с уже использующимися СКЗИ, если иное не определено в обосновании их использования.

Технические средства, отвечающие за управление СКЗИ и/или распределение ключевой информации, должны отвечать требованиям по информационной безопасности, определенным нормативно-правовыми актами Российской Федерации и документами по эксплуатации СКЗИ.

Подключение и обеспечение обмена информации с виртуальными частными сетями, принадлежащим сторонним организациям, возможно при условии принятия обеими сторонами соглашении о неразглашении передаваемой информацией.

Подключение к виртуальным частным сетям не должно приводить к снижению уровня защиты информации в виртуальных частных сетях Учреждения.



      1. Компрометация ключей

Все действия по обеспечения сохранности ключей должны быть направлены на исключение компрометации ключей или, по крайней мере, сведении неявной компрометации к явной компрометации.

В случае компрометации ключей или подозрения на компрометацию пользователь обязан прекратить любое использование СКЗИ и незамедлительно сообщить о данном факте работнику ответственному за информационную безопасность Учреждения.



    1. Использование мобильных устройств

Под мобильным устройством понимается любое устройство обработки информации в электронном виде, по особенностям своей конструкции, предназначенные для обработки информации без привязки к определенному месту (ноутбуки, планшеты, видеокамеры, смартфоны и т.п.).

Использование работниками личных мобильных устройств для выполнения должностных обязанностей запрещено (за исключением случаев совершения телефонных звонков по личным сотовым телефонам).

Подключение личных мобильных устройств к локальным вычислительным сетям Учреждения запрещено.

Служебные мобильные устройства должны отвечать требованиям настоящей Политики, включая требования по парольной защите, антивирусной защите, установленному программному обеспечению, использованию СКЗИ, использования технологий беспроводной передачи данных и т.п. Служебные мобильные устройства, не отвечающих требованиям настоящей Политики, запрещено использовать для выполнения должностных обязанностей работниками, в том числе подключать их к локальным вычислительным сетям Учреждения.

Обработка информации ограниченного доступа на мобильных устройствах должна соответствовать требованиям нормативно-правовых актов Российской Федерации, Сахалинской области и организационно-распорядительных документов Учреждения.

Работник, использующий служебные мобильные устройства, несет персональную ответственность за обеспечение их сохранности. Работникам запрещено создавать предпосылки для осуществления утраты, кражи и иных противоправных действий со служебными мобильными устройствами.

Использование служебных мобильных устройств в личных целях, а также для совершения противоправных действий запрещено.


    1. Каталог: wp-content -> uploads -> 2017
      2017 -> Свод правил по безопасной работе сотрудников органов исполнительной власти Самарской области, государственных органов Самарской области
      2017 -> Руководство по эксплуатации общие сведения. «Жидкий акрил»
      2017 -> О восстановлении пропущенного срока на подачу апелляционной жалобы
      2017 -> Решение по гражданскому делу по моему иску к Петрову А. Н о выселении. В удовлетворении исковых требований мне было отказано в полном объеме
      2017 -> Ротавирусная инфекция Профилактика острой кишечной инфекции

      Скачать 286.5 Kb.

      Поделитесь с Вашими друзьями:
1   2   3   4




База данных защищена авторским правом ©vossta.ru 2022
обратиться к администрации

    Главная страница