Шаблоны документов по информационной безопасности. Положение о политике информационной безопасности предприятия

Политика информационной безопасности предприятия

Успехом обеспечения сохранности и защиты информации на предприятии зависит, прежде всего, от разработанных политик безопасности на предприятии. Политика информационной безопасности организации -совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Рассмотрим административный уровень информационной безопасности предприятия, то есть меры, предпринимаемые руководством организации. В основе всех мероприятий административного уровня лежит документ, часто называемый политикой информационной безопасности предприятия. Под политикой информационной безопасности понимается совокупность документированных управленческих решений и разработанных превентивных мер, направленных на защиту информационных ресурсов.

Разработка политики информационной безопасности - вопрос отнюдь не тривиальный. От тщательности ее проработки будет зависеть действенность всех остальных уровней обеспечения информационной безопасности - процедурного и программно-технического. Сложность разработки данного документа определяется проблематичностью использования чужого опыта, поскольку политика безопасности основывается на производственных ресурсах и функциональных зависимостях данного предприятия. Кроме того, Россия как государство не имеет подобного типового документа. Наиболее близким по идее можно назвать "Доктрину информационной безопасности РФ", однако, на мой взгляд, она носит слишком общий характер.

В связи с этим для разработки политики информационной безопасности целесообразно использовать зарубежный опыт. Наиболее детально этот аспект проработан в "Общих критериях оценки безопасности информационных технологий", версия 2.0 от 22 мая 1998 г. Британского стандарта BS7799:1995. В нем рекомендуется включать в документ, характеризующий политику информационной безопасности организации, следующие пункты:

Вводный, подтверждающий заинтересованность высшего руководства проблемами информационной безопасности;

Организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

классификационный, описывающий имеющиеся на предприятии материальные и информационные ресурсы и необходимый уровень их защиты;

Штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения, порядок реагирования на нарушение режима и т.д.);

Раздел, освещающий вопросы физической защиты информации;

Раздел управления, описывающий подход к управлению компьютерами и сетями передачи данных;

Раздел, описывающий правила разграничения доступа к производственной информации;

Раздел, описывающий порядок разработки и внедрения систем;

Раздел, описывающий меры, направленные на обеспечение непрерывной работы организации (доступности информации);

юридический раздел, подтверждающий соответствие политики информационной безопасности текущему законодательству. Рекомендация в качестве основы для построения политики информационной безопасности зарубежных документов может вызвать недоумение. Однако, как видно из рекомендаций стандарта BS 7799:1995, они носят общий характер и одинаково применимы для предприятий в любой точке земного шара. Так же как правила постройки дома одинаковы для всех домов в мире и лишь корректируются действующим законодательством, строительными правилами и нормами и подобными документами. К тому же последний раздел рекомендаций содержит подтверждение соответствия политики безопасности текущему законодательству страны, на основе которого она и должна базироваться.

Начать составление политики следует с анализа рисков. Анализ рисков состоит из двух основных этапов: инвентаризация и классификация информационных ресурсов. Инвентаризация информационных ресурсов поможет в определении степени необходимой защиты, контроле защищенности, а также будет полезна в других областях, как-то охрана труда и техника безопасности, страхование, финансы. В качестве ресурсов, связанных с информационных технологий, могут выступать:

информационные ресурсы: файловые хранилища, базы данных, документация, учебные пособия, документы процедурного уровня (инструкции и т.д.);

Программные ресурсы: прикладное и системное программное обеспечение, утилиты и т.д.;

Физические ресурсы: вычислительное и коммуникационное оборудование, носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения;

Сервисы: отопление, освещение, энергоснабжение, кондиционирование воздуха;

Человеческие ресурсы.

После инвентаризации производится классификация ресурсов. Ценность каждого ресурса обычно представляется как функция нескольких дискретных переменных.

Приведем пример классификации информационного ресурса. В качестве основной переменной обычно выбирают степень конфиденциальности информации со следующими значениями:

Информация, содержащая государственную тайну;

Информация, содержащую коммерческую тайну;

Конфиденциальная информация (информация, не представляющая собой коммерческой или государственной тайны, хотя огласка ее нежелательна);

Свободная информация.

Следующей переменной может быть выбрано отношение того или иного ресурса к нарушениям основных трех аспектов информационной безопасности. К примеру, база данных телефонов работников предприятия может быть оценена на 8 с точки зрения доступности, на 2 с точки зрения конфиденциальности и на 4 с точки зрения целостности.

применимости к данному ресурсу, вероятности возникновения и возможного ущерба. На основе результатов этого анализа составляется классификационный раздел политики информационной безопасности.

В штатный раздел направлен на уменьшение риска ошибок персонала, краж, мошенничества или незаконного использования ресурсов. В дальнейшем этот раздел используется для составления должностных инструкций пользователей и руководящих документов для отделов и служб информационной безопасности. В документ желательно включить следующие разделы:

Правила проверки принимаемого на работу персонала;

Обязанности и права пользователей по отношению к информационным ресурсам;

Обучение пользователей и порядок допуска к работам с информационными ресурсами;

Права и обязанности администраторов;

Порядок реагирования на события, несущие угрозу информационной безопасности;

Порядок наложения взысканий.

В первый пункт включаются правила подачи заявлений о приеме, необходимые документы, форму резюме, рекомендаций и т.д. Кроме того, определяются необходимость, форма и порядок проведения собеседования с работниками различных категорий. Здесь же описываются различные обязательства о неразглашении.

Во втором пункте описываются обязанности пользователей по обслуживанию своего рабочего места, а также при работе с информационным ресурсами. Этот пункт тесно связан с третьим пунктом, поскольку определяет необходимые знания пользователей.

Третий пункт определяет необходимые знания для различных категорий работников, периодичность и порядок проведения инструктажа по пользованию информационными ресурсами. Необходимо четкое знание

пользователями всех процедурных вопросов (идентификация в системе, смена пароля, обновление антивирусных баз, работа с пакетами программ и т.д.). Кроме того, описывается порядок подключения пользователя к информационным ресурсам (необходимые документы, согласующие лица и подразделения).

Для нормального функционирования системы администраторы информационной безопасности должны обладать достаточными правами. Отключение от сети или информационного ресурса рабочей станции, являющейся носителем вируса, - необходимость, а не нарушение технологического процесса.

Для своевременной реакции на угрозы безопасности системы следует четко определить формальные процедуры уведомления и реагирования на подобные системы. Все пользователи должны быть обязаны сообщать закрепленным лицам об инцидентах и слабых местах в системе безопасности, сбоях в работе программного и аппаратного обеспечения. Необходимо определить и довести до сведения пользователей методы фиксации симптомов сбоев оборудования.

Последний раздел содержит описание процедуры наложения взысканий за нарушения установленных на предприятии правил информационной безопасности. Карательные меры и степень ответственности необходимо закрепить документально.

В зависимости от типа предприятия меры физической защиты могут варьироваться в широком диапазоне. Исходя из анализа рисков для каждого предприятия, необходимо жестко описать типы помещений и необходимые для них меры безопасности. К мерам безопасности относятся установка решеток, замков, порядок допуска в помещения, средства электромагнитной защиты и т.д. Кроме того, необходимо установить правила использования рабочего стола и способы утилизации материалов (различных магнитных носителей, бумажных документов, агрегатов), правила выноса программного и аппаратного обеспечения за пределы организации.

Разделы управления, описывающие подходы к управлению компьютерами и сетями передачи данных и порядок разработки и внедрения систем, описывают порядок выполнения стандартных операционных процедур оперирования данными, правила ввода систем в эксплуатацию (приемка систем), аудита их работы. Кроме того, в данном разделе указывается порядок защиты предприятия от вредоносного программного обеспечения (регламент работы антивирусной системы в частности). Определяются порядок аудита работоспособности систем и резервное копирование. Описываются стандартное программное обеспечение, разрешенное к работе на предприятии. Здесь же описываются системы защиты электронной почты, системы электронной цифровой подписи и другие криптографические системы и системы аутентификации, работающие на предприятии. Это немаловажно, поскольку российское законодательство в области жестко в этом отношении.

Права доступа к системам должны быть документированы, а порядок их предоставления определен нормативными документами. Должны быть указаны должности, производящие согласование заявок на предоставление прав доступа, а также осуществляющие раздачу прав. Кроме того, в организациях с серьезными требованиями к информационной безопасности определяется порядок проверок прав доступа к системам и лица, его осуществляющие. В этом же разделе описываются правила (политика) пользовательских паролей.

Итак, политика информационной безопасности предприятия представляет собой документ, на основе которого строится система обеспечения безопасности. В свою очередь, политика строится на анализе рисков, и чем полнее будет произведен анализ, тем эффективнее будет документ. Анализу подвергаются все основные ресурсы, включая материальную базу и человеческие ресурсы. Политика безопасности строится в соответствии со спецификой предприятия и законодательной базой государства.

Основным составом комплекса по защите информации является

1. Защита от вторжений.

Программные и аппаратно-программные межсетевые экраны, которые представляют собой программные средства, или программно-аппаратные устройства, предназначенные для контроля и разграничения межсетевого взаимодействия.

2. Защита от вредоносных программ.

Программные средства обнаружения и уничтожения, любо изоляции, различных видов и носителей вредоносного кода. Фильтрация почтовых сообщений и WEB-контента Фильтрация осуществляется с помощью программных продуктов, которые контролируют исходящие и входящие (по каналам WEB и электронной почты) информационные потоки.

3.Резервное копирование
программно-аппаратные средства переноса наиболее ценной из циркулирующей в информационной системе информации на альтернативные носители с целью длительного хранения и с возможностью восстановления этой информации в случае необходимости.

4.Контроль активности

Программно-аппаратные системы позволяющие осуществлять контроль и мониторинг перемещений и деятельности субъектов, находящихся в рамках контролируемого периметра.

5.Средства усиленной аутентификации

Используются для повышения стойкости стандартной процедуры аутентификации за счет применения дополнительных аппаратных устройств. Такие средства повышают уровень доверия и дают дополнительные удобства по сравнению с системами, использующими стандартный набор средств

Для предприятия ее информация является важным ресурсом. Политика информационной безопасности определяет необходимые меры для защиты информации от случайного или намеренного получения ее, уничтожения и тд. Ответственность за соблюдение политики безопасности несет каждый работник предприятия. Целями политики безопасности есть:

  • Реализация непрерывного доступа к ресурсам компании для нормального выполнения сотрудниками своих обязанностей
  • Обеспечение критичных информационных ресурсов
  • Защита целостности данных
  • Назначение степени ответственности и функций работников по реализации информационной безопасности на предприятии
  • Работы по ознакомлению пользователей в сфере рисков, которые связанные с инф. ресурсами предприятия

Должна проводится периодическая проверка сотрудников, на предмет соблюдения информационной политики безопасности. Правила политики распространяются на все ресурсы и информацию предприятия. Предприятию принадлежит права на собственность вычислительных ресурсов, деловой информации, лицензионное и созданное ПО, содержимое почты, разного рода документы.

В отношении всех информационных активов предприятия, должны быть соответствующие люди с ответственностью за использование тех или других активов.

Контроль доступа к информационным системам

Все свои обязанности должны быть исполнены только на компьютерах, разрешенных к эксплуатации на предприятии. Использование своих портативных устройств и запоминающих устройств можно только с согласованием . Вся конфиденциальная информация должна хранится в шифрованном виде на жестких дисках, где реализовано ПО с шифрованием жесткого диска. Периодически должны пересматриваться права сотрудников к информационной системы. Для реализации санкционированного доступа к информационному ресурсу, вход в систему должен быть реализован с помощью уникального имени пользователи и пароля. Пароли должны удовлетворять . Также во время перерыва, или отсутствия сотрудника на своем рабочем месте, должна срабатывать функция экранной заставки, для блокирование рабочей машины.

Доступ третьих лиц к информационной системе предприятия

Каждый работник должен оповестить службу ИБ о том, что он предоставляет доступ третьим лицам к ресурсам информационной сети.

Удаленный доступ

Сотрудники, которые используют личные портативные устройства, могут попросить об удаленном доступе к информационной сети предприятия. Сотрудникам, которые работают за пределами предприятия и имеют удаленный доступ, запрещено копировать данные из корпоративной сети. Также таким сотрудникам нельзя иметь больше одного подключение к разным сетям, не принадлежащих предприятию. Компьютеры имеющий удаленный доступ должны содержать .

Доступ в сеть интернет

Такой доступ должен разрешаться только в производственных целях, а не для личного пользования. Далее показаны рекомендации:

  • Запрещается посещение веб-ресурса, который считается оскорбительным для общества или имеет данные сексуального характера, пропаганды и тд
  • Работники не должны использовать интернет для хранение данных предприятия
  • Сотрудники, которые имеют учетные записи предоставленные публичными провайдерами, запрещено использовать на оборудовании предприятия
  • Все файлы из интернета должны проверяться на вирусы
  • Запрещен доступ в интернет для всех лиц, которые не являются сотрудниками

Защита оборудования

Работники также должны помнить о реализации физической защиты оборудование, на котором хранится или обрабатываются данные предприятия. Запрещено вручную настраивать аппаратное и программное обеспечение, для этого есть специалисты службы ИБ.

Аппаратное обеспечение

Пользователи, которые работают с конфиденциальной информацией, должны иметь отдельное помещение, для физического ограничения доступа к ним и их рабочего места.

Каждый сотрудник, получив оборудование от предприятия на временное пользование (командировка), должен смотреть за ним, и не оставлять без присмотра. В случаи потери или других экстренных ситуаций, данные на компьютере должны быть заранее зашифрованы.

Форматирование данных перед записью, или уничтожением носителя не является 100% гарантией чистоты устройства. Также порты передачи данных на стационарных компьютерах должны быть заблокированы, кроме тех случаев когда у сотрудника есть разрешение на копирование данных.

Программное обеспечение

Все программное обеспечение, которое установленное на компьютерах предприятия является собственностью предприятия и должно использовать в служебных задачах. Запрещено устанавливать сотрудникам лично другое ПО, не согласовав это с службой ИБ. На всех стационарных компьютерах должен быть минимальный набор ПО:

  • Антивирусное ПО
  • ПО шифрование жестких дисков
  • ПО шифрование почтовых сообщений

Работники компании не должны:

  • блокировать или устанавливать другое антивирусное ПО
  • менять настройки защиты

Электронные сообщения (даже удаленные) могут использоваться гос. органами или конкурентами по бизнесу в суде в качестве доказательств. Поэтому содержание сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.

Работникам нельзя передавать с помощью почты конфиденциальную информацию предприятия без реализация шифрования. Также работникам нельзя использовать публичные почтовые ящики. При документообороте должны использоваться только корпоративные почтовые ящики. Ниже описаны неразрешимые действия при реализации электронной почты:

  • групповая рассылка всем пользователям предприятия
  • рассылка сообщений личного характера, используя ресурсы электронной почты предприятия
  • подписка на рассылки ящик предприятия
  • пересылка материалов не касающихся работы

Сообщение об инцидентах, реагирование и отчетность

Все сотрудники должны оповещать о любом подозрении на уязвимости в системе защиты. Также нельзя разглашать известные сотруднику слабые стороны системы защиты. Если есть подозрения на наличие вирусов или других деструктивных действиях на компьютере, работник должен:

  • проинформировать сотрудников службы ИБ
  • не включать зараженный компьютер и не использовать его
  • Не подсоединять компьютер к информационной сети предприятия

Помещения с техническими методами защиты

Все конфиденциальные собрания/заседания должны проводиться только в специальных помещениях. Участникам запрещено проносить в помещения записывающие устройства (Аудио/видео) и мобильными телефонами, без согласия службы ИБ. Аудио/видео запись может вести сотрудник, с разрешением от службы ИБ.


26. Процедура регистрации (создания идентификатора и учетной записи) субъекта и предоставления ему (или изменения его) прав доступа к информационным системам электронного здравоохранения инициируется заявкой субъекта (Приложение №2). Заявка визируется руководителем организации, чем подтверждается производственная необходимость доступа (изменения прав доступа) данного субъекта и допуска данного лица к информационным системам электронного здравоохранения и конфиденциальной информации, необходимых для выполнения служебных обязанностей и решения им указанных задач. На основании заявки администратор производит необходимые операции по созданию (изменению, удалению) учетной записи, прав доступа и пароля.

27. Доступ к информационным системам электронного здравоохранения и конфиденциальной информации основывается на ролевом подходе, при регистрации субъекта организации ему назначается:
роль субъекта организации, которая строго ограничивает доступ субъекта к информационным системам электронного здравоохранения из других организаций;
роль профиля организации или подразделения, которая строго ограничивает доступ к конфиденциальной информациине относящейся к данному профилю организации или имеет статус «ограниченный доступ»;
роль служебного положения, которая разделена на несколько подролей в зависимости от уровня и статуса организации: руководитель организации - руководитель подразделения - лечащий врач - лаборант и т.д.

28. Роли доступа служебного положения:
персональная - предоставленная сотруднику лично (например, участковому врачу-терапевту данная роль предоставляет доступ к персональной информации о здоровье прикрепленного населения к территориальному участку, в соответствии с указанной процедурой как в пункте 13 или в соответствующей организационно-распорядительной документации);
должностная - предоставленная сотруднику в соответствии с занимаемой им должностью (лечащий врач, зав. отделением и др. в соответствии с указанной процедурой в пункте 13);
ситуационная - отвечающая ситуации (роли), в которой сотрудник исполняет свои обязанности (например, дежурный врач на время дежурства должен иметь больше прав, чем врач отделения; врач-консультант - только при проведении консультации или врач-лаборант при выполнении исследования может получать полный доступ ко всем ЭЭМЗ пациента в соответствии с указанной процедурой в пункте 13).

29. Права доступа могут распространяться на отдельные типы ЭЭМЗ или записи, относящиеся к определенному субъекту.

30. В основу распределения прав доступа должны быть положены требования к ведению бумажных медицинских документов, определенные существующими нормативными документами, и принятая технология лечебно-диагностического процесса медицинской организации.

31. Права доступа пациента к ЭПЗ определены общими правами в соответствии с действующим законодательством Республики Казахстан, однако при этом обеспечивается конфиденциальность медицинских данных. Собственные ЭМЗ/ЭЭМЗ могут быть переданы субъекту в виде бумажных копий или в виде копий на электронных носителях (дискетах, CD и DVD дисках, флеш-картах и т.д.). При передаче пациенту бумажных или электронных копий ЭМЗ/ЭЭМЗ ответственность за обеспечение конфиденциальности возлагается на самого субъекта.

32. По решению руководства медицинской организации или этическим соображениям некоторые ЭМЗ/ЭЭМЗ могут быть закрыты лечащим врачом субъекта. При этом ответственность за соблюдение конституционных прав субъекта возлагается на руководство медицинской организации.

33. В установленном законодательством РК порядке, а также согласно правилам и документам, регламентирующим передачу ЭМЗ/ЭЭМЗ, данные ЭМЗ/ЭЭМЗ могут быть переданы независимым организациям (запросы правоохранительных органов, проведение экспертизы и т.д.). При передаче персональной информации о здоровье в электронной форме должны строго соблюдаться требования конфиденциальности в отношении медицинских данных субъекта. Передаваемые данные должны быть подписаны ЭЦП автора ЭМЗ/ЭЭМЗ или руководителя (доверенного лица) передающей организации.

34. При использовании ЭЦП для подписания ЭМЗ, подпись может охватывать всю информацию: ЭМЗ, все прикрепленные файлы и все элементы формализованных данных, а также ЭЦП может быть создана для каждой из составляющих частей ЭМЗ, прикрепленные файлы и элементы формализованных данных отдельно.

35. Для обеспечения требований информационной безопасности, а также проведения ревизии учетных записей, срок действия предоставления доступа не должен превышать 1 год (за исключением описанного в пункте 37 и 38). Данные ограничения устанавливаются администратором при создании учетной записи.

36. При регистрации (создания идентификатора и учетной записи) субъекта доступа, администратор в обязательном порядке включает запись всех действий пользователя (регистрация входа выхода, производимых действий), и др. Хранение информации о действиях пользователя должно храниться в течение 1 года, на внешних носителях в сейфе структурного подразделения информационной безопасности.

37. Деактивация учетной записи происходит на основании заявки подписанной руководителем организации, обходного листа предъявленного при увольнении сотрудником. Информация, созданная уволенным пользователем, остается доступной для данной организации. В случае перемены места работы субъекта доступа организации, учетные данные не удаляются, а производится смена ролей в соответствии с вновь поданной заявкой.

38. Предоставление доступа субъектам доступа к конфиденциальным информационными ресурсами разрешается производить администратору. Субъекту доступа под роспись сообщается идентификатор, временный пароль, который должен быть заменен субъектом при первом входе в систему. Выдача доступа к информационным системам электронного здравоохранения регистрируется в журнале «Журнал регистрации пользователей и выдачи паролей» (Приложение 3).

39. Администратор имеет право:
приостанавливать оказание информационных услуг, доступ к конфиденциальной информации субъектам в случаях аварийных ситуаций, компрометации парольно-ключевой информации и по указанию руководителя организации;
проводить контроль исполнения требований по защите информации и технологии обработки конфиденциальной информации;
производить настройки на рабочих станциях субъектов доступа для обеспечения запрета на копирование конфиденциальной информации на внешние носители (USB, СD диски) и запрета на получение копии экрана (Print Screen).

40. Пользователи имеют право запрашивать информационные услуги, доступ к конфиденциальной информации и информацию о требованиях и правилах обработки конфиденциальной информации.

41. Предоставление прав доступа к информационным системам электронного здравоохранения и конфиденциальной информации сторонних информационных систем а также частных медицинских организаций, будет рассматриваться и регламентироваться в дополнительно разработанном регламенте «По предоставлению прав доступа частным медицинским организациям и сторонним информационным системам к информационным ресурсам МЗ РК», который будет разработан по мере необходимости.