Политика информационной безопасности

Введение

Настоящая Политика информационной безопасности учреждения (далее - Политика) ГБУЗ «Муйская центральная районная больница» (Далее - Учреждения)

Политика разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных изложенных в Концепции информационной безопасно­сти ИСПД Учреждения.

Политика разработана в соответствии с требованиями Федерального закона от 27 ию­ля 2006 г. № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 11 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безо­пасности персональных данных при их обработке в информационных системах персональ­ных данных», на основании:

-    «Рекомендаций по обеспечению безопасности персональных данных при их обра­ботке в информационных системах персональных данных», утвержденных Заместителем ди­ректора ФСТЭК России от 15.02.2008 г.,

-    «Типовых требований по организации и обеспечению функционирования шифро­вальных (криптографических) средств, предназначенных для защиты информации, не содер­жащей сведений, составляющих государственную тайну в случае из использования для обес­печения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных руководством 8 Центра ФСБ России 21.02.2008 г. № 149/6/6-662.

В Политике определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязан­ности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн Учреждения.

Общие положения

Целью настоящей Политики является обеспечение безопасности объектов защиты Учреждения от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн).

Безопасность персональных данных достигается путем исключения несанкциониро­ванного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персо­нальных данных, а также иных несанкционированных действий.

Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение и реагирование на УБПДн.

Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

Состав объектов защиты представлен в Перечне персональных данных, подлежащих защите.

Область действия

Требования настоящей Политики распространяются на всех сотрудников Учреждения (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчи­ки, аудиторы и т.п.).

Система защиты персональных данных

Система защиты персональных данных (СЗПДн), строится на основании:

-    Отчета о результатах проведения внутренней проверки;

-    Перечня персональных данных, подлежащих защите;

-    Акта классификации информационной системы персональных данных;

-    Модели угроз безопасности персональных данных;

-    Положения о разграничении прав доступа к обрабатываемым персональным дан­ным;

-    Руководящих документов ФСТЭК и ФСБ России.

На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн Учреждения. На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз и Отчета о результатах проведения внутренней проверке, делается заключение о необходимости использования технических средств и организацион­ных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприя­тия отражаются в Плане мероприятий по обеспечению защиты ПДн.

Для каждой ИСПДн должен быть составлен список используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн на всех элементах ИСПДн:

-    АРМ пользователей;

-    Сервера приложений;

-    СУБД;

-    Граница ЛВС;

-    Каналов передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.

В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:

-    антивирусные средства для рабочих станций пользователей и серверов;

-    средства межсетевого экранирования;

-    средства криптографической защиты информации, при передаче защищаемой ин­формации по каналам связи.

Так же в список должны быть включены функции защиты, обеспечиваемые штатны­ми средствами обработки ПДн операционными системами (ОС), прикладным ПО и специ­альными комплексами, реализующими средства защиты. Список функций защиты может включать:

-   управление и разграничение доступа пользователей;

-   регистрацию и учет действий с информацией;

-   обеспечивать целостность данных;

-   производить обнаружений вторжений.

Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены руководителем Учреждения или лицом, ответственным за обеспечение защиты ПДн.

Требования к подсистемам СЗПДн

СЗПДн включает в себя следующие подсистемы:

-   управления доступом, регистрации и учета;

-   обеспечения целостности и доступности;

-   антивирусной защиты;

-   межсетевого экранирования;

-   анализа защищенности;

-   обнаружения вторжений;

-   криптографической защиты.

Подсистемы СЗПДн имеют различный функционал в зависимости от класса ИСПДн, определенного в Акте классификации информационной системы персональных данных. Список соответствия функций подсистем СЗПДн классу защищенности представлен в При­ложении.

Подсистемы управления доступом, регистрации и учета

Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций:

-   идентификации и проверка подлинности субъектов доступа при входе в ИСПДн;

-   идентификации терминалов, узлов сети, каналов связи, внешних устройств по логи­ческим именам;

-   идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;

-   регистрации входа (выхода) субъектов доступа в систему (из системы), либо регист­рация загрузки и инициализации операционной системы и ее останова.

-   регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

-   регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.

Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Так же может быть внедрено специальное техническое средство или их комплекс осуществляющие дополни­тельные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометри­ческих и технических (с помощью электронных пропусков) мер аутентификации и других.

Подсистема обеспечения целостности и доступности

Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн Учреждения, а так же средств защиты, при случайной или намеренной модификации.

Подсистема реализуется с помощью организации резервного копирования обрабаты­ваемых данных, а так же резервированием ключевых элементов ИСПДн.

 Подсистема антивирусной защиты

Подсистема антивирусной защиты предназначена для обеспечения антивирусной за­щиты серверов и АРМ пользователей ИСПДн Учреждения.

Средства антивирусной защиты предназначены для реализации следующих функций:

-   резидентный антивирусный мониторинг;

-   антивирусное сканирование;

-   скрипт-блокирование;

-   централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;

-   автоматизированное обновление антивирусных баз;

-   ограничение прав пользователя на остановку исполняемых задач и изменения на­строек антивирусного программного обеспечения;

-   автоматический запуск сразу после загрузки операционной системы.

Подсистема реализуется путем внедрения специального антивирусного программного

обеспечения на все элементы ИСПДн.

Подсистема межсетевого экранирования

Подсистема межсетевого экранирования предназначена для реализации следующих функций:

-   фильтрации открытого и зашифрованного (закрытого) IP-трафика по следующим параметрам;

-   фиксации во внутренних журналах информации о проходящем открытом и закры­том IP-трафике;

-   идентификации и аутентификацию администратора межсетевого экрана при его ло­кальных запросах на доступ;

-   регистрации входа (выхода) администратора межсетевого экрана в систему (из сис­темы) либо загрузки и инициализации системы и ее программного останова;

-   контроля целостности своей программной и информационной части;

-   фильтрации пакетов служебных протоколов, служащих для диагностики и управле­ния работой сетевых устройств;

-   фильтрации с учетом входного и выходного сетевого интерфейса как средство про­верки подлинности сетевых адресов;

-   регистрации и учета запрашиваемых сервисов прикладного уровня;

-   блокирования доступа не идентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;

-   контроля за сетевой активностью приложений и обнаружения сетевых атак.

Подсистема анализа защищенности

Подсистема анализа защищенности, должна обеспечивать выявления уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы на­рушителем для реализации атаки на систему.

Функционал подсистемы может быть реализован программными и программно­аппаратными средствами.

Подсистема обнаружения вторжений

Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИСПДн подключенные к сетям общего пользования и (или) международного обмена.

Функционал подсистемы может быть реализован программными и программно­аппаратными средствами.

Подсистема криптографической защиты

Подсистема криптографической защиты предназначена для исключения НСД к за­щищаемой информации в ИСПДн Учреждения, при ее передачи по каналам связи сетей об­щего пользования и (или) международного обмена.

Подсистема реализуется внедрения криптографических программно-аппаратных ком­плексов.

Пользователи ИСПДн

В Концепции информационной безопасности определены основные категории поль­зователей. На основании этих категории должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности.

В ИСПДн Учреждения можно выделить следующие группы пользователей, участ­вующих в обработке и хранении ПДн:

-   Администратора ИСПДн;

-   Администратора безопасности;

-   Оператора АРМ;

-   Администратора сети;

-   Технического специалиста по обслуживанию периферийного оборудования;

-   Программист-разработчик ИСПДн.

Данные о группах пользователях, уровне их доступа и информированности должен быть отражен в Положение о разграничении прав доступа к обрабатываемым персональным данным.

Администратор ИСПДн

Администратор ИСПДн, сотрудник Учреждения, ответственный за настройку, вне­дрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа ко­нечного пользователя (Оператора АРМ) к элементам хранящим персональные данные.

Администратор ИСПДн обладает следующим уровнем доступа и знаний:

-   обладает полной информацией о системном и прикладном программном обеспече­нии ИСПДн;

-   обладает полной информацией о технических средствах и конфигурации ИСПДн;

-   имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;

-   обладает правами конфигурирования и административной настройки технических средств ИСПДн.

Администратор безопасности

Администратор безопасности, сотрудник Учреждения, ответственный за функциони­рование СЗПДн, включая обслуживание и настройку административной, серверной и кли­ентской компонент.

Администратор безопасности обладает следующим уровнем доступа и знаний:

-    обладает правами Администратора ИСПДн;

-    обладает полной информацией об ИСПДн;

-    имеет доступ к средствам защиты информации и протоколирования и к части ключе­вых элементов ИСПДн;

-    не имеет прав доступа к конфигурированию технических средств сети за исключе­нием контрольных (инспекционных).

Администратор безопасности уполномочен:

-    реализовывать политики безопасности в части настройки СКЗИ, межсетевых экра­нов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор АРМ) получает возможность работать с элементами ИСПДн;

-    осуществлять аудит средств защиты;

-    устанавливать доверительные отношения своей защищенной сети с сетями других Учреждений.

Оператор АРМ

Оператор АРМ, сотрудник Учреждения, осуществляющий обработку ПДн. Обработ­ка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, фор­мирование справок и отчетов по информации, полученной из ИСПД. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПДн.

Оператор ИСПДн обладает следующим уровнем доступа и знаний:

-    обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

-    располагает конфиденциальными данными, к которым имеет доступ.

Администратор сети

Администратор сети, сотрудник Учреждения, ответственный за функционирование телекоммуникационной подсистемы ИСПДн. Администратор сети не имеет полномочий для управления подсистемами обработки данных и безопасности.

Администратор сети обладает следующим уровнем доступа и знаний:

-    обладает частью информации о системном и прикладном программном обеспечении ИСПДн;

-    обладает частью информации о технических средствах и конфигурации ИСПДн;

-    имеет физический доступ к техническим средствам обработки информации и сред­ствам защиты;

-    знает, по меньшей мере, одно легальное имя доступа.

Технический специалист по обслуживанию периферийного оборудования

Технический специалист по обслуживанию, сотрудник Учреждения, осуществляет обслуживание и настройку периферийного оборудования ИСПДн. Технический специалист по обслуживанию не имеет доступа к ПДн, не имеет полномочий для управления подсисте­мами обработки данных и безопасности.

Технический специалист по обслуживанию обладает следующим уровнем доступа и знаний:

-    обладает частью информации о системном и прикладном программном обеспечении ИСПДн;

-    обладает частью информации о технических средствах и конфигурации ИСПДн;

-    знает, по меньшей мере, одно легальное имя доступа.

Программист-разработчик ИСПДн

Программисты-разработчики (поставщики) прикладного программного обеспечения, обеспечивающие его сопровождение на защищаемом объекте. К данной группе могут отно­ситься как сотрудники Учреждения, так и сотрудники сторонних организаций.

Лицо этой категории:

-    обладает информацией об алгоритмах и программах обработки информации на ИСПДн;

-    обладает возможностями внесения ошибок, не декларированных возможностей, про­граммных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;

-    может располагать любыми фрагментами информации о топологии ИСПДн и тех­нических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

Требования к персоналу по обеспечению защиты ПДн

Все сотрудники Учреждения, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

При вступлении в должность нового сотрудника непосредственный начальник под­разделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционирован­ного использования ИСПДн.

Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.

Сотрудники Учреждения, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользова­тели несут персональную ответственность за сохранность идентификаторов.

Сотрудники Учреждения должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются тех­нические средства аутентификации).

Сотрудники Учреждения должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ по­сторонние лица. Все пользователи должны знать требования по безопасности ПДн и проце­дуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обес­печению такой защиты.

Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами Учреждения, третьим лицам.

При работе с ПДн в ИСПДн сотрудники Учреждения обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.

При завершении работы с ИСПДн сотрудники обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

Сотрудники Учреждения должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознаком­лены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.

Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозри­тельных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подраз­деления и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

Должностные обязанности пользователей ИСПДн

Должностные обязанности пользователей ИСПДн описаны в следующих документах:

-   Инструкция администратора ИСПДн;

-   Инструкция администратора безопасности ИСПДн;

-   Инструкция пользователя ИСПДн;

-   Инструкция пользователя по обеспечению безопасности информации при возникно­вении внештатных ситуаций;

-   Инструкция по обеспечению безопасности информации на объекте вычислительной техники.

Ответственность сотрудников ИСПДн учреждения