безоп. 46. Правила информационной безопасности. Правила информационной безопасности
Скачать 198.5 Kb.
|
Город, годПравила информационной безопасностиЦель: Обеспечение информационной безопасности в Медицинской организации.Область применения: Политика распространяется на всех работников Медицинской организации.Ответственность:Главный врач и/или лицо, назначенное Главным врачом, обеспечивает контроль за выполнением всех пунктов данной Политики. Специалисты, отвечающие за информационную безопасность, должны обеспечить контроль за использованием информации информационной системы в соответствии с ППРК от 28 января 2008 года № 51 ДСП «Правила работы государственных органов со служебной информацией». Главный врач, и/или лицо назначенное Главным врачом должен обеспечить четкое управление и зримую поддержку инициатив в области поддержки информационной безопасности информационной системы Медицинской организации. Специалисты, отвечающие за информационную безопасность должны обеспечивать координацию мер контроля в эксплуатируемых информационных системах. Специалисты, отвечающие за информационную безопасность должны предоставлять ресурсы для обеспечения мер информационной безопасности. Главный врач, и/или лицо назначенное Главный врачом должен утверждать распределение специфических ролей и обязанностей по информационной безопасности. Обслуживающий персонал при нарушении требований пунктов Политики информационной безопасности будет привлекаться к административной или иной ответственности, в соответствии с действующим законодательством Республики Казахстан. Специалисты, отвечающие за информационную безопасность должны обеспечить контроль издания и доведения до сведения утвержденных документов по информационной безопасности до обслуживающего персонала и пользователей информационных систем Медицинской организации. Специалисты, отвечающие за информационную безопасность должны инициировать планы и программы по поддержанию осведомлённости об информационной безопасности.Ответственность на администраторов информационных систем возлагается в соответствии с зонами их ответственности согласно «Инструкции по закреплению функций и полномочий администратора сервера». Администраторы информационных систем обязаны:обеспечивать обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем; не допускать получения права доступа к информационным системам неавторизированным пользователям и представлять пользователям входные имена и начальные пароли только после заполнения установленных регистрационных форм; обеспечивать защиту оборудования, в том числе специальных межсетевых программных средств; оперативно и эффективно реагировать на события, содержащие угрозу, принимать меры по отражению угрозы и выявлению нарушителей, фиксировать и информировать специалистов, отвечающие за информационную безопасность о попытках нарушения защиты. Определения, термины и сокращения: Настоящая Политика информационной безопасности (далее - Политика) является внутренним нормативным документом Медицинской организации. Политика устанавливает требования к обеспечению информационной безопасности для информационных систем, эксплуатируемых в Медицинской организации, определяет основные принципы, направления и требования по защите информации, является основой для обеспечения режима информационной безопасности, служит руководством при разработке соответствующих Положений, Правил, Инструкций. Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается в случае предоставления доступа к данным только авторизованным лицам, целостность – в случае внесения в данные исключительно авторизованных изменений, доступность – обеспечении возможности получения доступа к данным авторизованным лицам в нужное для них время. В настоящей Политике приведены следующие определения, обозначения и сокращения:
Ресурсы:Серверное помещение, отвечающее всем требованиям;Источник бесперебойного питания (ИБП) необходимой мощности;Внутренние нормативные документы (см. п. 9.15).Документирование: ежегодный анализ информационной безопасности информационных систем с результатом в виде отчета. Общие положения7.2. Политика ИБ распространяется на функционирование всей инфраструктуры Медицинской организации.Политика ИБ обязательна для исполнения всеми лицами, работающими с инфраструктурой, в том числе для третьих лиц, выполняющих работы по сопровождению либо развитию ИС.Исполнение требований политики ИБ обеспечивают все лица, работающие с инфраструктурой информационных систем.Действия по обеспечению ИБ должны координироваться руководством и специалистами, ответственных за ИБ.Координация ИБ должна осуществлять следующую деятельность:обеспечивать соответствие выполняемых действий по обеспечению ИБ политике ИБ; определение действий в случае несоответствия выполняемых действий по обеспечению ИБ политике по ИБ; утверждение методологии и процессов обеспечения ИБ, например, оценку рисков, классификацию информации; идентифицировать значительные изменения угроз и подвергание информации и средств обработки информации угрозам; оценивание адекватности и координирования реализации мер контролю ИБ; эффективное способствование обучению, подготовке по ИБ и осведомлённости о ней; оценивание информации, полученной от мониторинга и пересмотра инцидентов ИБ, и внесение рекомендаций в ответ на идентифицированные инциденты ИБ. Описание управления информационной безопасностьюКонфиденциальностьГлавным требованием конфиденциальности является обеспечение предоставления информации только авторизированным лицам. Информация, обрабатываемая и хранящаяся в ИС, подлежит копированию и передаче третьему лицу только с официального разрешения руководства. При работе с ИС должна исключаться возможность наблюдения за отображаемой информацией посторонними лицами. В ИС не должны размещаться документы, содержащие государственные секреты, коммерческую тайну и иную информацию с ограниченным доступом. Запись и копирование служебной и иной защищаемой информации, в том числе для передачи другим лицам, производится на зарегистрированные в установленном порядке носители информации. При работе с ИС должны использоваться специальные лицензионные программные или аппаратные средства, обеспечивающие защиту от вредоносных программ, вирусов и сетевых атак. Информация должна классифицироваться с точки зрения ее ценности, правовых требований, секретности и критичности для ИС. Соглашения о конфиденциальностиТребования по соглашениям о конфиденциальности или неразглашении, отражающие потребности по защите безопасности, должны быть определены и регулярно пересмотрены. Для определения требований по соглашениям о конфиденциальности или неразглашении необходимо рассмотреть следующие элементы: определение информации, которая должна быть защищена (т.е. конфиденциальная информация или информация, содержащая коммерческую тайну); предполагаемая продолжительности соглашения, включая случаи, когда конфиденциальность должна поддерживаться бесконечно; требуемые действия по окончанию соглашения; обязанности и действия подписавших сторон во избежание несанкционированного разглашения информации (такого как «принцип необходимого знания»); собственность на информацию, коммерческие секреты и интеллектуальную собственность и то, как она связана с защитой конфиденциальной информации; разрешённое использование конфиденциальной информации и право подписавшей стороны использовать информацию; право аудита и мониторинга действий, в которых задействована конфиденциальная информация; процесс уведомления и сообщения о несанкционированном разглашении или нарушении конфиденциальности информации и коммерческой тайны; условия о возврате или уничтожении информации при прекращении действия соглашения; предполагаемые действия в случае нарушения данного соглашения. В соглашении о конфиденциальности или неразглашении могут потребоваться другие элементы, основанные на требованиях безопасности. Соглашения о конфиденциальности и неразглашении должны соответствовать всем применяемым правовым нормам и правилам юрисдикции, которые применяются. Требования9.1. Требования к обучению и осведомленности в вопросах ИБОбслуживающий персонал ИС, пользователи и администраторы ИС, должны быть ознакомлены с политикой ИБ. Обслуживающий персонал ИС должен предоставить пользователям ИС рабочую документацию (Инструкция о парольной защите ИС). Обслуживающий персонал ИС по запросу пользователей должен проводить первичный инструктаж по ИБ. Обслуживающий персонал, обеспечивающий функционирование ИС должен проходить регулярно инструктаж по соблюдению ИБ. Обслуживающий персонал ИС должны принять пользовательское соглашение о конфиденциальности. В целях обеспечения ИБ необходимо согласовать и определить в соглашении с третьей стороной мероприятия по управлению ИС. В целях обеспечения гарантированного уведомления подразделения ответственного за ИБ, обслуживающего персонала ИС и всех заинтересованных сторон об инциденте и слабости ИБ по отношению к ИС должны быть реализованы формальные процедуры по уведомлению об инциденте и появлении угроз. Для трансляции уведомлений должен быть избран способ, гарантированно позволяющий своевременно принять корректирующие меры. Обслуживающий персонал ИС должен знать процедуры уведомления, а также располагать сведениями о различных типах событий или слабых местах, которые могут влиять на безопасность ресурсов, и о наступлении которых или предпосылках к таковому необходимо отправить уведомление. Обслуживающий персонал и администраторы ИС обязаны как можно быстрее сообщать о любых событиях в сфере ИБ ответственным за ИБ лицам. Требования по аутентификации ИСАдминистраторы и пользователи ИС должны проходить безопасную аутентификацию, идентифицирующую их и исключающую возможность подбора пароля и перехвата авторотационных данных. Требования к пользовательским учетным записям и паролямТребования к пользовательским учетным записям и паролям приведены во внутреннем нормативном документе «Инструкция о парольной защите ИС». Требования к серверному помещениюСерверное помещение, в котором размещаются сервера и активное сетевое оборудование, используемое для ИС, должно быть оборудовано следующим образом: Система контроля управления доступа - система, предназначенная для предоставления санкционированного входа/выхода авторизованным лицам и запрещения входа/выхода неавторизованным лицам в контролируемых зонах с помощью электрических, электронных или механических средств. Контроль входа/выхода может включать также отчет и регистрацию всех событий и действий пользователей; Система видеонаблюдения - система охранного видеонаблюдения предназначена для визуального наблюдения и фиксации текущей обстановки в помещениях серверной. Камеры необходимо разместить таким образом, чтобы контролировать входы и выходы в помещение, пространство возле технологического оборудования (ИБП, кондиционеры, серверные шкафы и телекоммуникационные стойки). Разрешения видеокамер должно быть достаточным, чтобы уверенно различать лица сотрудников, обслуживающих технологическое оборудование; Фактическая холодильная мощность системы кондиционирования воздуха должна превышать суммарное тепловыделение всего оборудования и систем, размещенного в помещении серверной; Система мониторинга микроклимата - система контроля параметров предназначена для контроля климатических и других параметров в серверных шкафах и телекоммуникационных стойках. В каждом шкафу устанавливаются датчики для контроля следующих параметров: температура воздуха; запыленность воздуха; скорость потока воздуха; задымленность воздуха; открытие/ закрытие дверей шкафов; Система пожарной сигнализации - Система пожарной сигнализации помещения серверной должна быть выполнена отдельно от пожарной сигнализации здания (офиса). В помещении серверной должны быть установлены два типа извещателей: температурные и дымовые. Извещатели должны контролировать как общее пространство помещений, так и полости, образованные фальшполом и фальшпотолком. Сигналы оповещения подсистемы пожарной сигнализации выводятся на отдельный пульт в помещение круглосуточной охраны. Система пожарной сигнализации может быть объединена с подсистемой охранного видеонаблюдения серверной; Система газового пожаротушения - серверная оборудуется автоматической установкой газового пожаротушения, независимой от системы пожаротушения здания. Модуль газового пожаротушения подсистемы газового пожаротушения размещается непосредственно в помещении серверной (или вблизи ее), в специально оборудованном для этого шкафу. Запуск подсистемы производится от датчиков раннего обнаружения пожара, реагирующих на появление дыма, а также от ручных извещателей, расположенных у выхода из помещения. Система должна иметь табло оповещения о срабатывании персонала серверной, размещаемые внутри и снаружи помещения. Система должна обеспечивать подачу команд на закрытие защитных клапанов системы вентиляции и отключение питания оборудования. Допускается использование переносных порошковых огнетушителей. Система газо- и дымоудаления - обеспечивает отвод дыма и газа из помещения серверной после срабатывания подсистемы газового пожаротушения. Система выполняется отдельно от системы вентиляции здания с выводом воздуховода на крышу здания. Система должна обеспечивать отвод газовоздушной смеси в объеме, втрое превышающем объем серверной. Допускается использование переносных дымососов; Система организации оборудования и кабельного хозяйства: Телекоммуникационные шкафы и стойки Все оборудование серверной размещается в закрытых шкафах или открытых стойках. Количество стоек (шкафов) определяется исходя из имеющегося оборудования и его типоразмеров, способов монтажа; Для улучшения температурного режима размещение шкафов (стоек) организуют рядами, с образованием «горячих» и «холодных» коридоров. Промежутки между шкафами не допускаются; Распределение оборудования по шкафам (стойкам) осуществляется с учетом совместимости (возможного взаимного влияния), оптимального распределения потребляемой мощности (а значит и тепловыделения), оптимальности коммуникаций, габаритам и массе оборудования; Закрытые шкафы, в отличие от стоек, позволяют организовать дополнительные ограничения на доступ к оборудованию. Доступ внутрь таких шкафов может осуществляться с использованием подсистемы контроля доступа; Закрытые шкафы нуждаются в дополнительных мерах по обеспечению требуемого температурного режима. Для этого применяются дополнительные вентиляторы, встраиваемые системы охлаждения, модули отвода горячего воздуха. Организации коммуникаций Все коммуникационные кабели внутри серверной должны быть организованы в лотки, проложенные в нишах фальшпола или фальшпотолка. Лотки электрических кабелей и сигнальных должны быть разнесены на расстояние до 50 см. Допускается пересечение трасс под углом 90 градусов; Вводные каналы в телекоммуникационные шкафы и стойки должны обеспечивать свободную протяжку требуемого количества кабелей вместе с оконечными разъемами; Коэффициент заполнения кабельных каналов и закладных не должен превышать 50-60%; Внутри стоек и шкафов необходимо использовать кабельные организаторы, предотвращающие свешивание лишней длины кабеля; Для упрощения коммуникаций и исключения поломки разъемов оборудования, необходимо применять патч-панели; Все кабели, кроссовые коммуникации и патч-панели должны иметь маркировку, позволяющую однозначно идентифицировать каждый кабель (разъем, порт). Система бесперебойного электроснабжения. Система электроснабжения представляет собой технологическую систему, обеспечивающую безопасное и надежное функционирование инфокоммуникационных систем и инженерных систем здания. В свою очередь, система электроснабжения должна обеспечиваться средствами безопасности, и, кроме того, сама система электроснабжения является источником повышенной опасности. Важной задачей эксплуатации системы электроснабжения, наряду с электроснабжением потребителей, является её безопасное функционирование. Контроль обеспечения конфиденциальностиС целью контроля обеспечения конфиденциальности должны обеспечиваться следующие мероприятия: ежегодный анализ ИБ ИС на соблюдение требований ИБ, с результатом в виде отчета. постоянный мониторинг инструментальными средствами ИБ серверов ИС и сети, в которой они находятся. ЦелостностьГлавным требованием целостности является обеспечение изменения информации только авторизированными лицами по уровням доступа. Новые программно-аппаратные средства, внедряемые должны быть соответствующим образом одобрены со стороны руководства и специалистов, ответственных за обеспечение ИБ. Аппаратные средства и программное обеспечение перед внедрением следует проверять на совместимость с другими компонентами системы. Требования к антивирусной безопасностиТребования к антивирусной защите приведены во внутреннем нормативном документе «Инструкция по организации антивирусной защиты». Требования к применению электронной почты и ИнтернетаТребования по использованию электронной почты и Интернета приведены во внутреннем нормативном документе «Инструкция по использованию электронной почты и служб Интернет на подстанциях». ДоступностьГлавным требованием доступности является обеспечение состояния информации (ресурсов автоматизированной информационной системы), при котором авторизированные лица могут работать с ней беспрепятственно. В случае возникновения внештатных ситуаций, аварий, стихийных бедствий и иных ситуаций, которые могут повлиять, должны быть предусмотрены соответствующие меры защиты и обеспечения непрерывной работы и восстановления. Аварии, стихийные бедствия и иные внештатные ситуации должны фиксироваться в полном и тщательном виде, с сохранением данной информации на срок не менее 2-х лет. В случае возникновения инцидента ИБ или другой нештатной ситуации необходимо руководствоваться «Инструкцией о порядке действий пользователей во внештатных (кризисных) ситуациях». Требования к отказоустойчивостиОтказоустойчивость серверного оборудования должна быть обеспечена путем его дублирования и балансировки нагрузки.Отказоустойчивость каналов связи должна быть обеспечена путем использования наряду с основным резервного канала связи.В случае возникновения внештатной ситуации, произошедшей с серверным оборудованием ИС восстановление данных должно быть произведено в течение не более 2 суток.Требования по бесперебойному питаниюБесперебойное электропитание обеспечивается ИБП (источником бесперебойного питания) необходимой мощности, который должен гарантировать, как минимум, корректное завершение работы приложений и сворачивание операционной системы при отключении внешнего электропитания. Требования по обеспечению резервирования и дублирования мощностей
Система хранения данных должна обеспечивать возможность «горячей» замены дисков.Требования по обеспечению оперативного мониторинга состояния доступностиМониторинг ИС производится ежедневно в течение рабочего дня с помощью специализированного программного обеспечения, в случае изменения состояния доступности ИС произойдет оповещение администратора в режиме «онлайн». Управление инцидентами и несоответствиями требованиям ИБДля работы с различными типами инцидентов необходимо установить следующие процедуры: сбои информационных систем и утрата сервисов; вредоносный код; отказ в обслуживании; ошибки вследствие неполных или неточных данных; нарушения конфиденциальности и целостности; неправильное использование информационных систем; Дополнение к обычным планам обеспечения непрерывности должны существовать процедуры касательно: анализа и идентификации причины инцидента; локализации; планирования и внедрения средств, предотвращающих повторное проявление инцидентов, при необходимости; взаимодействия с лицами, на которых инцидент оказал воздействие, или участвующих в устранении последствий инцидента; информирования о действиях соответствующих должностных лиц; действия по устранению сбоев систем и ликвидации последствий инцидентов нарушения ИБ должны быть под тщательными формализованным контролем. Необходимо наличие процедур с целью обеспечения уверенности в том, что: только полностью идентифицированному и авторизованному персоналу предоставлен доступ к системам и данным в среде промышленной эксплуатации; все действия, предпринятые при чрезвычайных обстоятельствах, подробно документально оформлены; о действиях, предпринятых при чрезвычайных обстоятельствах, сообщено руководству, и они проанализированы в установленном порядке; целостность бизнес-систем и систем контроля подтверждена в минимальные сроки. цели управления инцидентами нарушения ИБ должны быть согласованы с руководством и лица, ответственные за управление инцидентами, должны знать приоритеты при работе с инцидентами нарушения ИБ. Администраторы ИС должны оперативно устранять выявленные уязвимости.Требования к документацииОбязательно требуемые к разработке внутренние нормативные документы:Правила паспортизации средств вычислительной техники и использования информационных ресурсов; Инструкция о парольной защите; Инструкция о порядке действий пользователей во внештатных (кризисных) ситуациях; Инструкция пользователя по эксплуатации компьютерного оборудования и программного обеспечения; Инструкция по организации антивирусной защиты; Инструкция по закреплению функций и полномочий администратора сервера; Правила доступа пользователей и администраторов в серверные помещения; Правила регистрации пользователей в корпоративной информационной сети; Памятка для работы системных администраторов; Памятка пользователю средств вычислительной техники; Инструкция по использованию электронной почты и служб Интернет на рабочих станциях; Инструкция о резервном копировании информации. Требования к анализу и оценке рисковПолитика ИБ первоначально должна основываться на данных, полученных в результате анализа и оценки рисков ИБ.С целью совершенствования политики ИБ должен проводиться ежегодный анализ и оценка рисков ИБ.Анализ и оценка рисков должны проводиться в соответствии со стандартами, действующими на территории Республики Казахстан, а также внутренними нормативными документами.При оценке рисков должно учитываться влияние реализации угроз ИБ на финансовое состояние. Стоимость принимаемых мер не должна превышать возможный ущерб, возникающий при реализации угроз.Формализованная процедура проведений анализа рисков описана в Приложении.На основе результатов анализа затрат и выгод рисков, руководство соответствующего СТП определяет, наиболее экономически эффективные меры для снижения риска. Выбранные меры должны объединить технические, эксплуатационные и управленческие меры для обеспечения надлежащей безопасности для ИС.Уровень мониторинга конкретных средств обработки информации следует определять на основе оценки рисков. При мониторинге следует обращать внимание на:авторизованный доступ, включая следующие детали: пользовательский ID; даты и время основных событий; типы событий; файлы, к которым был осуществлен доступ; используемые программы/утилиты; все привилегированные действия, такие как: использование привилегированных учетных записей, например, корневого каталога, администратора; запуск и остановка системы; подсоединение/отсоединение устройства ввода/вывода; попытки несанкционированного доступа, такие как: неудавшиеся или отвергнутые действия пользователя; неудавшиеся или отвергнутые действия, затрагивающие данные и другие ресурсы; нарушения политики доступа и уведомления сетевых шлюзов и межсетевых экранов; предупреждения от собственных систем обнаружения вторжения. Пересмотр политики ИБПолитика ИБ должна быть закреплена за ответственным лицом, который имеет право утверждать административную ответственность за развитие, пересмотр и оценку политики безопасности. Пересмотр должен включать возможности оценки для улучшения политики ИБ ИС и подход к управлению ИБ в ответ на изменения в организационной среде, деловой ситуации, юридических условиях или технической среде. При пересмотре политики ИБ необходимо учитывать результаты пересмотров управления. Здесь должны быть определены процедуры пересмотра, включая график или продолжительности пересмотра. Входные данные для пересмотра управления должны включать информацию по:обратной связи от заинтересованных сторон; результатам независимых пересмотров; статусу превентивных и корректирующих действий; результатам предыдущих пересмотров; характеристикам процесса и соответствию политики безопасности информации; изменениям, которые могут повлиять на подход ССМП к управлению ИБ, включая изменения в организационной среде, деловой ситуации, наличии ресурсов, договорных, регулятивных или юридических условиях или в технической среде; тенденции, связанные с угрозами и уязвимостями; сообщённым инцидентам ИБ; рекомендациям, представленным соответствующими учреждениями. Политика ИБ должна пересматриваться в случае появления существенных изменений в целях обеспечения конфиденциальности, целостности, доступности. Пересмотр политики ИБ должен осуществляться в соответствии с руководством по реализации Государственного стандарта Республики Казахстан СТ РК ИСО/МЭК 17799-2006. Контроль на соответствие требованиям ИБКонтроль требований настоящей политики ИБ осуществляют специалисты, отвечающие за ИБ. РассылкаСтруктурным подразделениям – информационный ресурс Медицинской организации. Медицинская организация в целом - информационный ресурс, электронно-сканированная версия. Делопроизводитель – оригинал бумажного экземпляра, электронно-сканированная версия. Ссылки:Закон Республики Казахстан от 7 января 2003 года № 370-II «Об электронном документе и электронной цифровой подписи» (с изменениями и дополнениями по состоянию на 16.05.2018 г.); Указ Президента Республики Казахстан от 14 ноября 2011 года № 174 «О Концепции информационной безопасности Республики Казахстан до 2016 года»; Постановление Правительства Республики Казахстан от 23 мая 2016 года № 298 «Об утверждении Правил проведения аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности» (с изменениями от 09.04.2018 г.); Государственный стандарт Республики Казахстан СТ РК ИСО/МЭК 17799-2006 «Информационная технология. Методы обеспечения защиты. Свод правил по управлению защитой информации»; СТ РК ISO/IEC 27001-2015 Информационная технология Методы и средства обеспечения безопасности Системы менеджмента информационной безопасностью. Требования; Стандарты аккредитации Международной объединенной комиссии (Joint Commission International Accreditation Standards for Hospital – 6th Edition) для больниц, 6-е издание, Глава 14: Менеджмент информации, 2017; Приказ Министра здравоохранения Республики Казахстан от 2 октября 2012 года №676 «Об утверждении стандартов аккредитации медицинских организаций» (с изменениями и дополнениями от 5 июня 2018 года), Приложение 1. Глава 2: Управление ресурсами. 15. Информационное управление, 16. Защита информации. Приложение (информационное)Оценка возможных технических рисков
Лист регистрации изменений
Лист ознакомления
|