Гобуз «центральная городская клиническая больница»




страница1/12
Дата04.05.2016
Размер0.95 Mb.
  1   2   3   4   5   6   7   8   9   ...   12




УТВЕРЖДАЮ

И.о.главного врача ГОБУЗ «ЦГКБ»


Н.М.Маврина

«15_» 09_ 2012 г.





Политика информационной безопасности

информационных систем персональных данных

ГОБУЗ «ЦЕНТРАЛЬНАЯ ГОРОДСКАЯ КЛИНИЧЕСКАЯ БОЛЬНИЦА»
Редакция 1.0





СОГЛАСОВАНО

Заместитель Директора

ГОБУЗ «МИАЦ»
П.П.Рязанцев
«___» ____________ 2012 г.


СОДЕРЖАНИЕ


Термины и определения 4

Вводная часть 5

Политики, обязательные для исполнения в ГОБУЗ «ЦГКБ» 6

Политика безопасности жизненного цикла ИСПДн 6

Политика информирования и обучения по вопросам информационной безопасности 10

Политика аудита событий информационной безопасности 14

Политика безопасности сервера 22

Политика администрирования 24

25

Политика обеспечения целостности и доступности информационных активов и сервисов автоматизированной системы 29



Политика управления доступом 37

Политики, рекомендуемые для исполнения в ГОБУЗ «ЦГКБ» 42

Политика сопровождения ИСПДн 42

Политика отслеживания и реагирования на инциденты информационной безопасности 44

Политика защиты от угроз информационной безопасности, связанных с персоналом 48

Политика обеспечения безопасности внутрисетевого и межсетевого взаимодействия 51

Политика управления конфигурацией ИСПДн 56

Политика использования Интернета 59

Политика использования мобильных компьютеров 61



Принятые сокращения
БД – база данных

ИБ – информационная безопасность

ИБП – источниками бесперебойного питания

ИСПДн – информационная система персональных данных

ИТ – информационные технологии

КЗ – контролируемая зона

МЭ – межсетевой экран

ОС – операционная система

ПО – программное обеспечение

СУБД – система управления базами данных

НСД – несанкционированный доступ

СЗИ – системы защиты информации

СКЗИ – средство криптографической защиты информации

ЭЦП – электронная цифровая подпись

BIOS – базовая система ввода-вывода

IDS – система обнаружения вторжений

IPS – система предотвращения вторжений

Термины и определения



Аутентификация - проверка принадлежности субъекту доступа (пользователю, процессу и т.п.) предъявленного им идентификатора (имени пользователя), подтверждение подлинности.

Идентификация - присвоение субъектам и объектам доступа идентификатора (имени пользователя) и/или сравнение предъявляемого идентификатора (имени пользователя) с перечнем присвоенных идентификаторов. пользователей. ые тупа и использования ступа к защищаемым активамровень привелегий пользователя. 3333333333333333333333333

Аудит событий ИБ – процесс анализа событий ИБ с целью выявления инцидентов ИБ.

Управление доступом - предотвращение несанкционированного использования какого-либо активов, включая предотвращение использования активом неполномочным способом.

Инцидент ИБ - действительное, предпринимаемое или вероятное нарушение информационной безопасности.

Вводная часть

Политика безопасности ИСПДн ГОБУЗ «ЦЕНТРАЛЬНАЯ ГОРОДСКАЯ КЛИНИЧЕСКАЯ БОЛЬНИЦА» – это официально объявленная руководством учреждения стратегия защиты информационных ресурсов ГОБУЗ «ЦЕНТРАЛЬНАЯ ГОРОДСКАЯ КЛИНИЧЕСКАЯ БОЛЬНИЦА» (Далее – ГОБУЗ «ЦГКБ»). Это документ, описывает средства и действия, обеспечивающие безопасность обработки персональных данных в автоматизированных системах.

Политика безопасности ИСПДн – это основной способ преобразования общих соображений руководства о безопасности в конкретные цели и задачи.

Политика безопасности определяет необходимый и достаточный набор мер, позволяющих уменьшить риски информационной безопасности до приемлемой величины. Эти меры должны оказывать минимальное влияние на производительность труда сотрудников, учитывать особенности работы ГОБУЗ «ЦГКБ».

Эффективность политики безопасности достигается


  • организацией непрерывного контроля выполнения ее правил, фиксацией инцидентов ее нарушения и тщательным анализом их причин. Основными формами этого контроля являются регулярное проведение внутреннего и внешнего аудита безопасности;

  • непрерывной работой по обучению сотрудников и повышению осведомленности руководителей структурных подразделений в вопросах обеспечения информационной безопасности;

  • регулярным пересмотром и корректировкой правила политики безопасности для поддержания ее в актуальном состоянии. Обеспечение информационной безопасности — непрерывный процесс. Технологии стремительно изменяются, системы устаревают, а многие процедуры теряют эффективность.

Политику безопасности вводит в действие своим приказом Главный врач ГОБУЗ «ЦЕНТРАЛЬНАЯ ГОРОДСКАЯ КЛИНИЧЕСКАЯ БОЛЬНИЦА» и ее реализация находится под его контролем.


Политики, обязательные для исполнения в ГОБУЗ «ЦГКБ»

Политика безопасности жизненного цикла ИСПДн


1. Введение
1.1. Цель
Определить общие требования по обеспечению информационной безопасности ИСПДн на всех стадиях жизненного цикла ИСПДн.
1.2. Аудитория
С данной политикой должны быть ознакомлены:

  • администратор безопасности ИСПДн;

  • руководители структурных подразделений.


2. Политика
2.1. ИБ ИСПДн должна обеспечиваться на всех стадиях жизненного цикла ИСПДн, автоматизирующих технологические процессы ГОБУЗ «ЦГКБ», и учитывать специфику деятельности всех структур, вовлеченных в процессы жизненного цикла (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений).

2.2. Разработка технических заданий, проектирование, создание и тестирование и приемка средств и систем защиты ИСПДн должны осуществляться по согласованию с администратором безопасности.

2.3. Ввод в действие, эксплуатация, снятие с эксплуатации ИСПДн (составных частей ИСПДн) в части вопросов ИБ должны осуществляться при участии ответственного специалиста по защите информации.

2.4. На стадиях создания ИСПДн (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), должна быть обеспечена защита от угроз:

— неверной формулировки требований к ИСПДн;

— выбора неадекватной модели жизненного цикла ИСПДн, в том числе неадекватного выбора процессов жизненного цикла и вовлеченных в них участников;

— принятия неверных проектных решений;

— внесения разработчиком дефектов на уровне архитектурных решений;

— внесения разработчиком недокументированных возможностей в ИСПДн;

— неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к ИСПДн;

— разработки некачественной документации;

— создания ИСПДн разработчиком/производителем с нарушением требований, что приводит к появлению недокументированных возможностей в ИСПДн либо к неадекватной реализации требований;

— неверного конфигурирования ИСПДн;

— приемки ИСПДн, не отвечающей требованиям заказчика;

— внесения недокументированных возможностей в ИСПДн в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ.

2.5. Привлекаемые для разработки и(или) производства средств и систем защиты ИСПДн на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ.

2.6. При приобретении компонентов ИСПДн разработчиком (поставщиком) должна быть предоставлена документация, содержащая описание мер защиты, предпринятых разработчиком (поставщиком) в отношении угроз, перечисленных в п. 2.4.

В договор (контракт) о поставке компонентов ИСПДн должны быть включены положения по сопровождению поставляемых изделий на весь срок их службы.

В случае невозможности включения в договор (контракт) указанных требований должна быть рассмотрена возможность приобретения комплекта рабочей конструкторской документации на изделие, обеспечивающего возможность сопровождения его без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой стоимости, должен быть проведен анализ влияния угрозы невозможности сопровождения компонентов на обеспечение непрерывности работы ИСПДн.

2.7. На стадии эксплуатации должна быть обеспечена защита от следующих угроз:

— умышленное несанкционированное раскрытие, модификация или уничтожение информации;

— неумышленная модификация или уничтожение информации;

— недоставка или ошибочная доставка информации;

— отказ в обслуживании или ухудшение обслуживания.

2.8. На стадии сопровождения должна быть обеспечена защита от угроз:

— внесения изменений в ИСПДн, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;

— невнесения разработчиком изменений, необходимых для поддержки правильного функционирования и правильного состояния ИСПДн.

2.9. На стадии снятия с эксплуатации компонентов ИСПДн должно быть обеспечено удаление информации, несанкционированное использование которой может нанести ущерб деятельности, и информации, используемой средствами обеспечения ИБ, из постоянной памяти компонентов ИСПДн или с внешних носителей.

2.10 Требования ИБ должны включаться во все договоры и контракты на проведение работ или оказание услуг на всех стадиях жизненного цикла ИСПДн.
3. Роли и обязанности


  • Администратор безопасности ИСПДн:

  • отвечает за претворение в жизнь настоящей политики;

  • организует контроль соблюдения требований настоящей политики;

  • осуществляет выбор необходимого набора контрмер и стратегии информирования по вопросам ИБ;

  • осуществляет координацию действий в области обеспечения ИБ;

  • обеспечивает проведение необходимого обучения;

  • осуществляет общее методическое руководство деятельностью администратора безопасности;

  • информирует руководителей учреждения о состоянии дел в области обеспечения ИБ и обо всех существенных инцидентах нарушения ИБ.



4. Ответственность за нарушение политики безопасности
4.1. Лица, указанные в разделе 3 настоящей политики, несут персональную ответственность за обеспечение ИБ в соответствии с требованиями настоящей политики безопасности.

4.2. Лица, нарушившие требования безопасности, изложенные в данной политике, совершившие умышленные действия, направленные на нарушение ИБ, могут быть привлечены к дисциплинарной ответственности в соответствии с действующим законодательством Российской Федерации.


5. История пересмотра


  1   2   3   4   5   6   7   8   9   ...   12


База данных защищена авторским правом ©ekonoom.ru 2016
обратиться к администрации

    Главная страница