Государственное бюджетное образовательное учреждение дополнительного профессионального образования «Новокузнецкий государственный институт усовершенствования врачей» Министерства здравоохранения и
социального развития Российской Федерации
«Утверждаю»
ректор ГБОУ ДПО НГИУВ
Минздравсоцразвития России
д. м.н., профессор
____________________________
«_____» ____________ 2011 г.
Политика
информационной безопасности
ГБОУ ДПО НГИУВ
Минздравсоцразвития России
Новокузнецк 2011
Содержание
Политика информационной безопасности. Глобальная политика. 3
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Антивирусная защита. 5
Политика информационной безопасности. Политика локальной вычислительной сети. Политика сетевого администрирования. 8
Политика информационной безопасности. Управление доменом. 13
Политика информационной безопасности. Электронная почта. 18
Политика информационной безопасности. Интернет. 20
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Управление программным обеспечением. 22
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Файловый обмен. 24
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Эксплуатация портативных мобильных устройств. 26
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Политика пользователя. 28
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Архивирование, резервное копирование и восстановление данных. 31
Политика информационной безопасности.
Глобальная политика.
1. термины, сокращения и нормативные ссылки
1.1. СМИБ – система менеджмента информационной безопасности.
1.2. В настоящем документе применены также термины и использованы ссылки на следующие стандарты:
ГОСТ Р ИСО/МЭК ТО 27001 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».
ГОСТ Р ИСО/МЭК ТО – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».
ГОСТ Р ИСО/МЭК ТО – 13335-4 – 2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер».
ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасной сети».
ГОСТ Р ИСО/МЭК ТО 1777799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью.
2. ВВЕДЕНИЕ
2.1. Цель глобальной политики безопасности – установление в Государственном Бюджетном Образовательном Учреждении Дополнительного Профессионального Образования «Новокузнецкий Государственный Институт Усовершенствования Врачей Минздравсоцразвития России» (ГБОУ ДПО НГИУВ Минздравсоцразвития России) (далее – институт) норм, обеспечивающих безопасность информационных систем, их отказоустойчивость, целостность данных, описывающих права и обязанности пользователей в информационной системе института.
2.2. Глобальная политика является основной политикой безопасности института и является частью СМИБ, основанной на использовании методов оценки рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.
3. ОБЛАСТЬ ДЕЙСТВИЯ
3.1. Действие данной политики распространяется на всех пользователей ГБОУ ДПО НГИУВ Минздравсоцразвития России, врачей-курсантов, интернов и ординаторов, использующих в процессе обучения информационные сервисы института.
3.2. Область действия других политик информационной безопасности определены в самих политиках.
4. ПОЛИТИКА
4.1. Данная политика и все политики информационной безопасности разработаны, основываясь на принципах и в соответствии с требованиями и рекомендациями международных правовых актов по информационной безопасности и Российского законодательства, в том числе основываясь на документах, перечисленных в разделе 2. данной политики.
4.2. Все политики разработаны, исходя из положения, что ГБОУ ДПО НГИУВ Минздравсоцразвития России является самостоятельным учреждением, и вся информация, принадлежащая институту, является его информативным активом. Институт предпринимает меры для защиты своих информационных активов от несанкционированного использования, изменения или уничтожения. Вне зависимости от того, какие средства используются для создания, передачи или хранения информации, должны быть использованы адекватные меры по ее защите.
4.3. Любая информация, хранимая на рабочих станциях и серверах института, принадлежит институту.
4.4. Все политики безопасности разделены на политики Пользователя и политики Администрирования. Политики пользователя определяют права и обязанности пользователя при использовании информационного актива института. Политики администрирования определяют требования конфигурирования рабочих станций, серверов, локальной вычислительной сети и других объектов инфраструктуры.
4.5. Все политики информационной безопасности утверждены руководителем института и должны быть доведены до каждого пользователя руководителями структурных подразделений.
4.6. Контроль за реализацией и соблюдением политик осуществляет отдел информационных технологий института.
4.7. Периодически, но не реже одного раза в год политики информационной безопасности должны пересматриваться в соответствии с прошедшими изменениями инфраструктуры института.
5. ОТВЕТСТВЕННОСЬ
5.1. В случае нарушения любой политики безопасности, ответственными лицами за информационную безопасность института (заведующий отделом информационных технологий, системный администратор, администратор сети) проводится служебная проверка.
5.2. По результатам служебной проверки, ответственный за информационную безопасность, , может внести представление на руководителя подразделения или руководителя института по направлению о применении к нарушившему политику безопасности работнику дисциплинарных взысканий и материального воздействия в соответствии с действующими приказами института.
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Антивирусная защита.
1. Термины, сокращения и нормативные ссылки
1.1. АВЗ – антивирусная защита.
1.2. Антивирусная защита – комплекс правовых, организационных и технических мер по защите информационных активов института от воздействия вредоносных программ.
1.3. Антивирусное ПО – программное обеспечение, предназначенное для защиты от вредоносных программ посредством обнаружения зараженных программных модулей и системных областей, распознания и блокировки вирусных сигнатур, а также для восстановления исходного состояния зараженных объектов.
1.4. Вирус (компьютерный) – вредоносная программа, способная создавать свои копии или другие вредоносные программы и внедрять их в файлы, системные области компьютера, распространяться через компьютерные сети, а также осуществлять другие деструктивные действия.
1.5. Система АВЗ – совокупность органов и/или исполнителей, используемые ими программное обеспечение, техника, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по АВЗ.
1.6. В настоящем документе применены также термины и использованы ссылки на следующие стандарты:
ГОСТ Р ИСО/МЭК ТО 13335-2 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»
ГОСТ Р ИСО/МЭК ТО 13335-4 – 2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер»
ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети»
ГОСТ Р ИСО/МЭК ТО 177799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью»
2. ВВЕДЕНИЕ
Целью данной политики безопасности является:
2.1. Определение основных принципов построения системы защиты информационных активов ГБОУ ДПО НГИУВ Минздравсоцразвития России от угроз, связанных с воздействием вредоносных программ на элементы информационной инфраструктуры.
2.2. Определение основных мер АВЗ и областей их внедрения для обеспечения выполнения Федерального законодательства, требования и рекомендаций национальных и международных стандартов в области информационной безопасности.
3. ОБЛАСТЬ ДЕЙСТВИЯ
К области применения требований данной политики относятся:
3.1. Локальная вычислительная сеть института.
3.2. Переносные автоматизированные рабочие места сотрудников института (ноутбуки, нетбуки, IPad), имеющие доступ и возможность подключения в состав ЛВС института.
3.3. Удаленные автоматизированные рабочие места сотрудников института, использующие информационные ресурсы ЛВС института.
3.4. Отдельные автономные автоматизированные рабочие места, не имеющие физического подключения к ЛВС института.
3.5. Руководство, сотрудники института, в том числе интерны и ординаторы и врачи-курсанты, имеющие доступ к вышеуказанным техническим средствам и системам.
4. ОТВЕТСТВЕННОСТЬ
4.1. Ответственность за соблюдение данной политики возлагается на всех сотрудников института, в том числе интернов и ординаторов, а также на всех врачей-курсантов, использующих программно-технические средства института на основании соответствующих соглашений. Категорически запрещается удалять или отключать установленные средства антивирусной защиты.
4.2. Указанные лица несут ответственность за ущерб, причиненный ГБОУ ДПО НГИУВ Минздравсоцразвития России вследствие нарушения ими установленных требований в области антивирусной защиты, в полном объеме Федерального законодательства.
5. ПОЛИТИКА
5.1. Антивирусная защита строится на трех уровнях АВЗ.
Первый уровень антивирусной защиты – уровень защиты сети Интернет – шлюза доступа (HTTP, FTP трафика).
Второй уровень антивирусной защиты – уровень защиты почтовых систем (SMTP/POP3 трафика).
Третий уровень антивирусной защиты – уровень защиты файловых серверов и рабочих станций.
5.2. Ответственными за инфраструктуру института в области информационных технологий (зав. отдела информационных технологий, системный администратор) определяется стандартный состав корпоративного антивирусного программного обеспечения. Установка иного антивирусного программного обеспечения не допускается.
5.3. Антивирусное программное обеспечение должно быть установлено, настроено и активировано на всех программно-технических средствах, имеющих доступ к информационным активам института, до начала их использования или подключения к информационным ресурсам института.
5.4. Все возможные каналы поступления вредоносного программного обеспечения в информационно-технологическую инфраструктуру института должны быть определены, проанализированы и защищены средствами антивирусной защиты.
5.5. Контролю на предмет обнаружения вредоносных программ должна подвергаться вся информация, создаваема и обрабатываемая программно-техническими средствами института, а также принимаемая (передаваемая) посредством сменных носителей информации и средствами телекоммуникаций.
5.6. С целью эффективной борьбы с новыми видами зловредного программного обеспечения и уменьшения накладных расходов на администрирование должно выполняться централизованное, регулярное обновление всех средств антивирусной защиты, используемых для защиты информационных систем института.
5.7. Для эффективной реализации АВЗ института, необходимо:
5.7.1. унифицировать антивирусное программное обеспечение с возможностью централизованного управления
5.7.2. постоянное, своевременное обновление антивирусных баз и программных компонентов
Реализацию данного пункта политики безопасности осуществляет системный администратор, контроль за исполнением обеспечивает заведующий отделом ИТ.
5.8. Любые информационные системы, используемые в ЛВС института или подключаемые к ней как локально, так и удаленно, в ходе эксплуатации должны подвергаться непрерывному антивирусному мониторингу и сканированию. К таковым системам относятся сервера и рабочие станции ЛВС института, а также мобильные и отдельные автономные автоматизированные рабочие места руководства, сотрудников института и врачей-курсантов, имеющие доступ к информационным активам института.
6. КОНТРОЛЬ
6.1. Контроль от имени института за исполнением данной политики безопасности возлагается на заведующего отделом информационных технологий ГБОУ ДПО НГИУВ Минздравсоцразвития России, выполняющим ответственность за информационную безопасность института.
Политика информационной безопасности.
Политика локальной вычислительной сети.
Политика сетевого администрирования.
1. ТЕРМИНЫ И НОРМАТИВНЫЕ ССЫЛКИ
1.1. В настоящем документе применены термины и использованы ссылки на следующие стандарты:
ГОСТ Р ИСО/МЭК ТО 13335-2 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»
ГОСТ Р ИСО/МЭК ТО 13335-4 – 2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер»
ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети»
ГОСТ Р ИСО/МЭК ТО 177799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью»
2. ВВЕДЕНИЕ
2.1. ГБОУ ДПО НГИУВ Минздравсоцразвития полагается на использование информации при ведении своей профессиональной деятельности. Обмен данными и доступ к информационным сервисам осуществляется посредством локальной вычислительной сети (ЛВС).
2.2. Цель данной политики – определение требований к обеспечению безопасности сетевых соединений и правил обслуживания аппаратной и программной информационной инфраструктуры ЛВС института.
3. ОБЛАСТЬ ДЕЙСТВИЯ
3.1. Область действия данной политики распространяется на конфигурирование всех компонентов ЛВС: каналы связи, активное сетевое оборудование (АСО), сетевые интерфейсы, программное обеспечение управления и мониторинга ЛВС.
4. ПОЛИТИКА
4.1. Вычислительная сеть ГБОУ ДПО НГИУВ Минздравсоцразвития России является локальной вычислительной сетью, используемой для местного соединения имеющихся информационных систем. Сетевые соединения в рамках ЛВС классифицируются как «Соединение в пределах одной контролируемой территории» согласно п.10 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. Требования к безопасности данного соединения должны соответствовать п.4.28 данной политики.
4.2. ЛВС является сетью передачи данных. Режим работы сети – круглосуточный. Основным транспортным протоколом для передачи данных является протокол TCP/IP. Использование других протоколов не допускается.
4.3. В сети допускается использование разных типов приложений: клиент-серверных, на основе эмуляции терминала, WEB приложения и др.
4.4. Для адресации сети используется адресное пространство разрешенного частного адресного пространства Интернет.
4.5. Сетевая структура должна представлять коммутируемую, маршрутизируемую сеть с пропускной способностью 10/100/1000 Mb/сек.
4.6. В пределах ЛВС допускается наличие канала связи с другими информационными сетями для получения доступа к информационным ресурсам подразделений института, а также доступа к сервисам сторонних организаций. Данное соединение классифицируется как «Соединение с другими организациями» согласно п.10 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. Требования безопасности к данному типу сетевого соединения должны соответствовать п.4.29 данной политики безопасности.
4.7. В пределах ЛВС допускается наличие канала с общедоступной сетью Интернет. Данное соединение классифицируется как «Соединение с инородными областями общего пользования» согласно п.10 ГОСТ Р ИСО/МЭК ТО 13335-2 – 2006. Требования к безопасности данного типа сетевого соединения должны соответствовать п.4.30 данной политики безопасности.
4.8. В целях обеспечения удаленного доступа к информационно-техническим сервисам института допускается наличие канала связи удаленного доступа. Данное соединение классифицируется как «Соединения между узлом связи организации и персоналом, работающим в местах, удаленных от организации» согласно ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. Требования к безопасности данного типа сетевого соединения должны соответствовать п.4.31 данной политики безопасности.
4.9. В сети не допускается иных каналов связи, которые перечислены в п.4 данной политики.
4.10. Схемы логической и физической топологии должны быть выполнены в соответствии с требованиями «Требования к оформлению технических чертежей (схем) подсистемы активного сетевого оборудования»
4.11. Схемы логической и физической топологии хранятся на централизованном ресурсе института. Ответственность за актуальное состояние схем ЛВС несет системный администратор института. Доступ к данному ресурсу имеют только системный администратор и администратор сети. Зав. отделом информационных технологий осуществляет контроль и участвует в реорганизации.
4.12. Все сетевые компоненты должны быть идентифицированы и учтены в базе данных сетевого администрирования. Ответственность за актуальную информацию базы данных сетевого администрирования несет системный администратор. Доступ к данному ресурсу имеют только системный администратор и администратор сети.
4.13. Резервные копии конфигурационных файлов АСО должны храниться на централизованном ресурсе института. Ответственность за хранение актуальных копий конфигурационных файлов АСО несет системный администратор.
4.14. Все единицы АСО должны быть установлены либо в отдельных охраняемых помещениях, либо в шкафах, не имеющих возможности общего пользования.
4.15. Предпочтительными для конфигурирования АСО являются международные стандартные протоколы. Допускается использовать протоколы разработчика АСО, если они имеют ограниченную область действия и хорошо интегрируются в существующую гетерогенную инфраструктуру.
4.16. Все устройства АСО должны быть синхронизированы с сервером синхронизации времени института.
4.17. Доступ и удаленное управление АСО разрешено только системному администратору.
4.18. Доступ и удаленное управление АСО ограничен по IP адресу сетевого интерфейса рабочего персонального компьютера системного администратора.
4.19. Удаленное управление АСО разрешено после прохождения аутентификации и авторизации.
4.20. Параметры аутентификации и авторизации АСО должны быть отконфигурированы. Не разрешается использовать параметры, установленные по умолчанию заводом изготовителем АСО.
4.21. Не разрешается устанавливать доступ по протоколу SNMP в режиме изменения.
4.22. На всех портах АСО должен быть установлен режим управления доступом к среде.
4.23. На всех портах АСО должен быть режим STP или его производные.
4.24. Все неиспользуемые порты АСО должны быть отключены.
4.25. С целью выявления слабых мест в конфигурации сети должен выполняться мониторинг. Мониторинг проводится системным администратором, при необходимости могут привлекаться сотрудники отдела ИТ. Узлы, параметры для мониторинга и уровень детализации определяется администратором сети с учетом получения достаточной информации для проактивного анализа с целью предотвращения простоев сети и активного анализа при поиске неисправностей. Трафик, генерируемый системами управления сетью, не должен создавать препятствия для передачи данных в ЛВС института.
4.26. Тестирование новой аппаратной и программной инфраструктуры допускается только на оборудовании, которое не участвует в передаче данных института.
4.27. Изменение конфигурации и установка новых версий программного обеспечения АСО, вызывающих остановку передачи данных в сети, допускается только в нерабочее время (вечернее и ночное время). Допускается изменение конфигурации АСО в исключительных случаях для устранения неисправности.
4.28. Информация системных журналов аудита АСО должна быть централизована
Требования к сетевому соединению
«Соединение в пределах одной контролируемой территории»
4.29.1. Доверительная среда, связанная с данным типом соединения, согласно п.11.2 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. высокая/частная – высокое доверие и использование частной сети.
4.29.2. Все порты АСО, используемые для подключения персональных компьютеров сотрудников и другого АСО принадлежат виртуальной сети ЛВС ГБОУ ДПО НГИУВ Минздравсоцразвития России. В целях ограничения несанкционированного доступа допускается местное деление по виртуальным сетям по необходимым выполняемым задачам или по уровню безопасности.
Требования к сетевому соединению
«Соединение с другими организациями»
4.30.1. Доверительная среда, связанная с данным типом соединения, согласно п.11.2 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. низкая/частная – низкое доверие и использование частной сети.
4.30.2. Условия взаимодействия данного типа соединения определяются контрактом/договором, который заключается между институтом и сторонней организацией. Запрещается межсетевое взаимодействие по каналам связи в случае отсутствия контракта/договора.
4.30.3. Допускается сетевое взаимодействие между ЛВС института и сторонней организации только через маршрутизаторы. На границе ЛВС должен быть установлен контроль доступа в ЛВС для входящих и исходящих данных. Ограничений на уровень контроля доступа (приложений, сетевой, канальный) не накладывается.
4.30.4. Доступ к сервисам, использующим данное сетевое соединение, разрешается предоставлять только после прохождения процесса аутентификации и авторизации.
4.30.5. За контролем доступа по данному сетевому соединению должен быть установлен аудит. Доступ к журналам аудита имеет системный администратор и зав. отделом информационных технологий.
Требования к сетевому соединению
«Соединение с однородными областями общего пользования»
4.31.1. Доверительная среда, связанная с данным типом сетевого соединения, согласно п.11.2 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. низкая/общая – низкое доверие и использование общей сети.
4.31.2. Допускается сетевое взаимодействие по данному сетевому соединению только через межсетевой экран. Ограничений на техническую инфраструктуру и схему сетевого экрана не накладывается.
4.31.3. На границе межсетевого взаимодействия должен быть установлен контроль доступа на входящие и исходящие данные на сетевом и транспортном уровне.
4.31.4. Общедоступные информационные ресурсы института выделены в зону, к которой организован общий доступ.
4.31.5. Доступ пользователей ЛВС к сервисам, использующим данное соединение, разрешается предоставлять только после прохождения процесса аутентификации и авторизации.
4.31.6. Для контроля доступа по данному сетевому соединению должен быть установлен аудит. Доступ к журналам аудита имеет системный администратор и зав. отделом информационных технологий.
4.31.7. Создание виртуальных частных сетей с использованием канала сети Интернет разрешается только по шифрованному каналу.
4.31.8. Весь входящий и исходящий трафик анализируется на наличие вирусов и сигнатур известных атак.
4.31.9. Отправляемые во внешние сети сообщения не содержат информации о внутренней адресации сети.
Требования к сетевому соединению «Соединения между узлом связи организации и персоналом, работающим в местах, удаленных от организации»
4.32.1. Доверительная среда, связанная с данным типом сетевого соединения, согласно ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. низкая/общая – низкое доверие и использование общей сети.
4.32.2. Допускается сетевое взаимодействие по данному соединению только через межсетевой экран. Для данного сервиса выполняются все требования к сетевому соединению «Соединение с однородными областями общего пользования»
4.32.3. Доступ пользователей к сервису удаленного доступа разрешается предоставлять только по производственной необходимости на основе представления, полученному согласно принятому алгоритму получения доступа к серверу в институте
4.32.4. Передача данных посредством сервиса удаленного выполняется только по шифрованному каналу. Ограничений на техническую реализацию сервиса удаленного доступа не накладывается.
4.32.5. Аутентификационные данные для пользователей, отправляющихся в командировку, выдаются на срок не превышающий время пребывания вне территории института.
4.32.6. Компьютеры, с которых осуществляется удаленный доступ, должны удовлетворять требованиям безопасности вычислительной сети института.
Требования к настройке сетевых параметров компьютеров клиентов.
4.33.1. Сетевые параметры компьютер клиента получает автоматически.
4.33.2. Пользователь компьютера не должен иметь возможность изменять сетевые конфигурационные параметры.
5. КОНТРОЛЬ
5.1. Контроль от имени института за исполнением данной политики безопасности выполняет системный администратор ГБОУ ДПО НГИУВ Минздравсоцразвития России.
Политика информационной безопасности.
Управление доменом.
1. Термины
1.1. Домен lf. local – логическая структура организации рабочих станций, серверов и пользователей, позволяющая осуществлять централизованное управление учетными записями пользователей и компьютеров, вести единую политику института по защите информационных активов.
1.2. Групповая политика домена (ГП) – набор шаблонов, правил, определяемых администраторами домена для централизованного управления пользователями, рабочими станциями и серверами в домене на основе политик информационной безопасности.
1.3. Паспорт групповой политики – документальное описание групповой политики, включающее в себя описание ГП, область ее действия, автора, срока действия.
1.4. Пользователь – любое лицо, являющееся работником института, чье исполнение служебных обязанностей связано с использованием ресурсов корпоративной вычислительной сети института.
1.5. Администратор домена – специалист, ответственный за администрирование домена в рамках политики безопасности.
1.6. Полномочия – перечень операций, доступных для выполнения конкретному пользователю.
1.7. Роль – набор функций (полномочий), необходимых для выполнения пользователем своих функциональных обязанностей.
1.8. Учетная запись пользователя – совокупность атрибутов (Ф. И.О., имя пользователя в сети, его пароль и т. д.), предназначенных для однозначной идентификации пользователя в домене.
2. ВВЕДЕНИЕ
2.1. В институте осуществляется централизованное управление безопасностью рабочих станций и серверов с использованием домена lf. local (далее домен)
2.2. Данное положение устанавливает единые правила функционирования и администрирования домена.
3. ОБЛАСТЬ ДЕЙСТВИЯ
3.1. Действие данной политики безопасности распространяется на всех сотрудников института, пользователей и администраторов, входящих в домен института.
4. СТРУКТУРА УПРАВЛЕНИЯ ДОМЕНОМ
4.1. Домен ГБОУ ДПО НГИУВ Минзравсоцразвития России является самостоятельным доменом учреждения со своей структурой управления доменом.
4.2. В целях обеспечения требований единой аутентификации допускается устанавливать доверительные отношения с доменами предприятий, предоставляющими доступ к своим сервисам.
4.3. Процесс управления доменом включает в себя:
4.3.1. Формирование, реализацию и контроль исполнения данной политики информационной безопасности.
4.3.2. Техническую реализацию политики информационной безопасности путем формирования/изменения групповых политик, применения организационных мер и другими способами.
4.3.3. Управление учетными записями пользователей, групп, компьютеров (серверов), принтеров и других объектов домена.
4.4. Служба информационной безопасности, состоящая из зав. отделом ИТ, системного администратора и администратора сети, формирует (пересматривает и изменяет) политики информационной безопасности.
4.5. Политики безопасности включают в себя:
4.5.1. Требования по настройке параметров серверов и рабочих станций
4.5.2. Принципы разграничения полномочий пользователей
4.5.3. Формирование административных шаблонов пользователей и компьютеров
4.5.4. Принципы администрирования домена
4.6. Служба информационных технологий разрабатывает и реализует технические и организационные решения согласно требуемым политикам
4.7. Сформированные (пересмотренные) политики безопасности утверждаются ответственным за развитие ИТ инфраструктуры (зав. отделом ИТ) и ответственными за информационную безопасность (системный администратор и администратор сети)
4.7.1. Администраторы, пользователи исполняют утвержденные политики информационной безопасности.
5. Формирование групповых политик домена
5.1. Групповые политики (ГП) являются технической реализацией политик информационной политики института
5.2. Групповые политики домена формируются/пересматриваются системным администратором и администратором сети
5.3. Администратор домена имеет право применять групповые политики в рамках всего домена
5.4. Перед вводом групповых политик в эксплуатацию, она должна быть проверена и опробована сотрудниками отдела ИТ вне структуры домена.
6. требования к учетным записям пользователей
6.1. Требования к учетным записям устанавливаются соответствующей политикой безопасности
6.2. Порядок создания учетной записи
6.2.1. Учетные записи пользователей создаются администратором домена согласно установленной процедуре. Допускается создание учетной записи в тестовых целях и служебных учетных записей без заявки.
6.2.2. Учетной записи при создании администратором домена назначаются полномочия и соответствующие роли каждого пользователя.
6.2.3. Учетная запись для командировочных лиц и сотрудников работающих по удаленному доступу создается по аналогичной процедуре принимающего подразделения и согласованной с ответственным за информационную безопасность. Для командировочных лиц учетная запись создается на срок командировки.
6.2.4. Все локальные учетные записи на персональных компьютерах клиентов, подключенных к ЛВС, отключены.
6.2.5. Локальная запись администратора на персональных компьютерах клиентов, подключенных к ЛВС, переименована.
6.2.6. В случае возникновения необходимости выполнения действий на компьютере под локальной учетной записью, имеющей права локального администратора, необходимо выполнить следующую последовательность действий:
6.2.6.1.зарегистрироваться под учетной записью локального администратора
6.2.6.2.создать временную учетную запись
6.2.6.3.внести вновь созданную учетную запись в группу локальных администраторов
6.2.6.4.загрузить операционную систему в обычном режиме и зарегистрироваться под вновь созданной локальной учетной записью
6.2.6.5.выполнить все необходимые действия и удалить вновь созданную учетную запись
6.2.6.6.загрузить операционную систему в обычном режиме и зарегистрироваться под доменной учетной записью
6.3. Управление учетными записями
6.3.1. Учетные записи должны отражать актуальную информацию о пользователе
6.3.2. Учетная запись обладает полномочиями, определенными ролью ее владельца
6.3.3. В случае увольнения или перевода сотрудника, учетная запись пользователя блокируется и удаляется по истечении двух месяцев со дня увольнения пользователя
6.3.4. Учетные записи пользователей, действующие по заключенному договору, автоматически блокируются по истечении срока действия договора
6.3.5. Учетная запись пользователя может быть заблокирована при нарушении политики информационной безопасности по предъявлению ответственного за информационную безопасность
7. ТРЕБОВАНИЯ К ПАРОЛЯМ
7.1. В домене lf. local принята единая аутентификация пользователей по паролю
7.2. Пользователям запрещается разглашение пароля, передача прав и доступа другим лицам.
7.3. Запрещается использовать в качестве пароля даты рождения, фразы, которые могут быть легко подобраны методом перебора.
7.4. Запрещается записывать пароль где-либо, где он может быть легко найден посторонними лицами.
7.5. Требования к паролю определяются доменной политикой:
Минимум 6 символов, должен состоять из букв верхнего или нижнего регистра русского или латинского алфавита и цифр, может быть задана частота смены пароля – не менее одного раза в шесть месяцев, число не повторяющихся паролей – 4, минимальное время между сменой пароля – 1 сутки.
7.6. Ввод/сброс пароля производится администратором домена при предъявлении документа, удостоверяющего личность пользователя (в случае, если пользователь не известен администратору)
8. ПРАВА И ОБЯЗАННОСТИ АДМИНИСТРАТОРА ДОМЕНА
8.1. Администратор домена назначается распоряжением ответственного за развитие ИТ инфраструктуры института.
8.2. Администратор домена имеет право:
8.2.1. Вносить на рассмотрение ответственному за информационную безопасность предложения по обеспечению защиты информации в рамках корпоративной локальной вычислительной сети института
8.2.2. Блокировать учетные записи пользователей в случае нарушения ими политики безопасности
8.2.3. Создавать учетные записи в целях отладки и тестирования без права доступа к информационным ресурсам
8.3. Администратор домена обязан:
8.3.1. Осуществлять техническую реализацию политик безопасности
8.3.2. Контролировать исполнение политик безопасности
8.3.3. Информировать ответственного за информационную безопасность обо всех фактах нарушения политик безопасности
8.4. Администратору домена запрещается:
8.4.1. Делегирование полномочий администратора домена лицам, не допущенным к управлению доменом согласно процедуре п.8.1 данной политики
8.4.2. Самостоятельное создание и уничтожение учетных записей пользователей без согласования с ответственным за политику информационной безопасности института
8.4.3. Самостоятельное изменение прав доступа к корпоративным ресурсам института без наличия представления пользователя на доступ к ресурсу.
8.4.4. Ознакомление с информацией, включая, но не ограничиваясь, хранящейся на рабочих станциях, сетевых ресурсах или в базах данных, владельцем которой он является.
9. ПРАВА И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЯ
9.1. Права и обязанности пользователя определяются политикой пользователя, описанной на стр. 28 политики безопасности ГБОУ ДПО НГИУВ Минздравсоцразвития России
10. ПРАВА И ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО
ЗА ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ
10.1. Имеет доступ ко всем объектам домена и журналам аудита в режиме чтения
10.2. Контролирует групповые политики на соответствие политикам безопасности института
10.3. Контролирует соблюдение политик пользователями и администраторами, формирует представление о дисциплинарных взысканиях в случае их нарушения
11. КОНТРОЛЬ
11.1. Контроль от имени института за исполнением данной политики информационной безопасности выполняет ответственный за информационную безопасность .
Политика информационной безопасности.
Электронная почта.
1. ВВЕДЕНИЕ
1.1. Целью данной политики безопасности является:
1.1.1. Определение ответственности пользователей за неправильное использование корпоративной системы электронной почты, а также потенциальные последствия нарушения данной политики
1.1.2. Информирование пользователей о том, что, используя корпоративную электронную почту, они соглашаются выполнять требования данной политики безопасности и отказываются от любых прав на конфиденциальность сообщений созданных, посланных или полученных с использованием корпоративной системы электронной почты
1.1.3. Информирует пользователей о том, что институт оставляет за собой право контролировать содержание переписки без предварительного уведомления, а также принимать дисциплинарные меры взыскания к работникам, нарушающим данную политику безопасности
2. ОБЛАСТЬ ДЕЙСТВИЯ
2.1. Данная политика безопасности применяется к любому письму, отправляемого или получаемого посредством системы корпоративной электронной почты института
3. ПОЛИТИКА
В соответствии с требованием п.8.7.4. «Безопасность электронной почты»
ГОСТ Р ИСО/МЭК ТО 177799 – 2005 устанавливаются следующие политики:
3.1. Электронная почта – используется только для выполнения работником его служебных обязанностей
3.2. Доступ к сервису – электронная почта определяется п.3.8. политики пользователя
3.3. Единственно возможный способ работы с электронной почтой в институте – использование корпоративной электронной почты. Работа с другими сервисами электронной почты, включая, но не ограничиваясь, бесплатными почтовыми серверами, только при согласовании с системным администратором института.
3.4. Запрещается рассылка цепных сообщений, спама, исполняемых файлов, файлов развлекательного характера.
3.5. Запрещается использовать корпоративную электронную почту для любой деятельности с целью получения личной материальной выгоды.
3.6. Запрещается пересылка и получение электронной почты, содержащей лицензионное программное обеспечение и другие действия, позволяющие обойти лицензионные соглашения или нарушить авторские права
3.7. Запрещается посылать письма, содержащие информацию, составляющие коммерческую тайну института. Исключения составляют пользователи, имеющие на это право в соответствии с положением «О коммерческой тайне»
3.8. Запрещается создание и пересылка зашифрованных писем или писем, содержащих шифрованные участки, вложения, а также предпринимать любые другие действия затрудняющие анализ тела письма и его вложений. Исключение составляют пользователи, имеющие на это право в соответствии с положением «О коммерческой тайне».
3.9. Запрещается создавать, отсылать письма дискредитирующей кого-либо информации, непристойного или вызывающего содержания, которая может быть воспринята, как преследование или умаление над расой, цветом кожи, национальностью, полом, сексуальной ориентацией, возрастом, религиозными или политическими предпочтениями. В случае получения такого письма пользователем, оно должно быть немедленно удалено.
3.10. При работе с электронной почтой на компьютере обязательно должно быть установлено корпоративное антивирусное программное обеспечение.
3.11. При получении письма с вложением, каждый пользователь должен следовать процедуре, описанной в разделе 5 данной политики безопасности.
3.12. Запрещается использование чужих адресов электронной почты, а также разрешать использование своего адреса кому-либо еще.
4. КОНТРОЛЬ
4.1. Контроль от имени института за исполнением данной политики безопасности выполняет ответственный за информационную безопасность института .
4.2. Любое почтовое сообщение, включая вложения, созданное, отправленное или принятое с использованием корпоративной системы электронной почты – принадлежит институту, не конкретному пользователю.
4.3. Институт оставляет за собой право получать доступ к любому письму, посланному или принятому с использованием корпоративной электронной почты, без дополнительного уведомления пользователя.
5. ПРОЦЕДУРА РАБОТЫ С ПОЛУЧЕННЫМИ ПИСЬМАМИ
5.1. При получении любого письма с вложением, пользователь должен ответить для себя на следующие вопросы:
5.1.1. Пришло ли письмо со знакомого Вам адреса?
5.1.2. Принадлежит ли адрес отправителя домену института?
5.1.3. Ожидали ли Вы письмо с вложением с этого адреса?
5.1.4. Говорит ли Вам о чем-нибудь тема письма и название файла-вложения?
5.2. Если на все вопросы ответ отрицательный, письмо должно быть немедленно удалено.
Политика информационной безопасности.
Интернет.
1. Термины
1.1. Институт – ГБОУ ДПО НГИУВ Минздравсоцразвития России
1.2. Интернет – в данном тексте подразумевается доступ к сети Интернет, предоставляемый институтом своим сотрудникам
1.3. Пользователь Интернет – сотрудник института, имеющий доступ к сети Интернет.
2. ВВЕДЕНИЕ
2.1. Институт предоставляет услуги доступа к сети Интернет своим работникам, как инструмент для более эффективного выполнения своих функциональных обязанностей.
2.2. Правильное использование Интернета важно по следующим причинам:
2.2.1. Пропускная способность сети и ресурсы: использование Интернет не для служебных целей приносит реальные убытки институту.
2.2.2. Судебные разбирательства и/или отрицательный имидж института: неправильное использование Сети Интернет может повлечь различные судебные разбирательства или спровоцировать ухудшение общего имиджа института среди его партнеров
2.2.3. Использование служебного времени в личных целях: использование сети Интернет в личных целях снижает производительность труда работника и приносит реальные убытки институту.
2.3. Цель данной политики – определение основных правил использования сети Интернет.
3. ОБЛАСТЬ ДЕЙСТВИЯ
3.1. Данная политика распространяется на сотрудников института, которые имеют доступ к сети Интернет.
4. ПОЛИТИКА
4.1. Институт предоставляет доступ к сети Интернет только тем сотрудникам, кому он необходим для выполнения функциональных обязанностей согласно должностной инструкции.
4.2. Доступ с сервису Интернет определяется п.3.8. политики пользователя.
4.3. Запрещается использовать Интернет для доступа, создания, отображения или передачи дискредитирующей кого-либо информации, непристойного или вызывающего содержания, которая может быть воспринята, как преследование или умаление расы, цвета кожи, национальности, пола, сексуальной ориентации, возраста, религиозных или политических предпочтений.
4.4. Запрещается посещать сайты порнографического и развлекательного характера.
4.5. Институт контролирует обращение к сайтам, содержащим информацию, перечисленную в пункте 4.4., и может без предупреждения закрывать к ним доступ. Если пользователь обнаружил, что он случайно попал на данные сайты, следует немедленно прекратить к ним доступ и сообщить адрес сайта администратору сервиса доступа к сети Интернет для внесения данного сайта в список блокируемых.
4.6. Любое полученное из сети Интернет программное обеспечение или файлы становятся собственностью института, если это не нарушает чужих прав на интеллектуальную собственность или условий распространения программного обеспечения.
4.7. Пользователям запрещается использовать сеть Интернет для скачивания и распространения нелицензированного программного обеспечения или любых других данных, распространение которых запрещено законом.
4.8. Пользователям запрещается преднамеренное распространение компьютерных вирусов, сетевых червей или другого злонамеренного кода.
4.9. Пользователям запрещается сознательно нарушать или мешать работе любых компьютерных систем или сетей, обходить любую систему, предназначенную для защиты информации, отнесенной к коммерческой тайне.
4.10. Запрещается использовать корпоративный доступ к сети Интернет для любой деятельности с целью получения личной материальной выгоды.
4.11. Запрещается использовать название института, своей должности и служебных обязанностей, адреса корпоративной электронной почты при общении
через сеть Интернет (чаты, группы новостей, форумы и т. д.) или создании учетных записей на сайтах Интернет, за исключением сотрудников, имеющих право представлять институт в средствах массовой информации.
4.12. Запрещается распространять информацию, отнесенную к коммерческой тайне или содержащую персональные данные сотрудников института, на общественных серверах в сети Интернет и в локальной сети института.
4.13. Запрещается использование сети Интернет для получения программного обеспечения или любой другой информации развлекательного характера, игр, социальных сетей, а также игр через сеть Интернет.
5. КОНТРОЛЬ
5.1. Контроль за использованием ресурсов сети Интернет от имени института осуществляет ответственный за информационную безопасность , .
5.2. Институт имеет право контролировать использование ресурсов сети Интернет, включая, но не ограничиваясь, списком посещаемых пользователями сайтов.
5.3. Пользователи не могут рассчитывать на конфиденциальность для института передаваемой через сеть Интернет информации.
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Управление программным обеспечением.
1. ТЕРМИНЫ И НОРМАТИВНЫЕ ССЫЛКИ
1.1. В настоящем документе применены термины и использованы нормативные ссылки на следующие стандарты:
ГОСТ ИСО/МЭК ТО 177799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью»
2. ВВЕДЕНИЕ
2.1. ПО (программное обеспечение) обеспечивает выполнение для института информационных функций, ради которых оно было приобретено.
2.2. Цель данной политики – формирование требований соблюдения лицензионных соглашений и запрещение на использование неавторизированного (контрафактного) программного обеспечения. Определение требований контроля над использованием бесплатного ПО.
3. ОБЛАСТЬ ДЕЙСТВИЯ
3.1. Область действия данной политики распространяется на всех пользователей института, сотрудников, врачей-курсантов, интернов и ординаторов.
4. ПОЛИТИКА
4.1. Набор и конфигурация программного обеспечения рабочих станций, установка программного обеспечения осуществляется только сотрудниками отдела информационных технологий, и определяется в соответствии с действующими политиками безопасности, а также ролями и полномочиями пользователей.
4.2. Изменение лицензионного набора программного обеспечения, соответствующего роли пользователя, осуществляется администраторами по заявке пользователя, согласованной с начальником подразделения пользователя или ответственным за развитие ИТ инфраструктуры.
4.3. Все программное обеспечение идентифицируется в реестре разрешенного программного обеспечения.
4.4. К использованию в информационной системе института допускается только программное обеспечение, внесенное в реестр разрешенного программного обеспечения.
4.5. Реестр программного обеспечения содержит лицензионное программное обеспечение и бесплатное ПО, прошедшее проверку на отсутствие вредоносного кода осуществляется службой, ответственной за информационную безопасность. Проверку ПО осуществляют сотрудники отдела информационных технологий. Требований на формат данных реестра не накладывается.
4.6. Реестр программного обеспечения может быть изменен по решению ответственного за развитие ИТ инфраструктуры о приобретении и использовании нового программного обеспечения и после проверки на отсутствие вредоносного кода для бесплатного ПО. Ответственным от имени института выступает заведующий отделом информационных технологий.
4.7. Заявка на изменение реестра разрешенного бесплатного ПО оформляется на ответственного за ИТ инфраструктуру. Ограничений на использование бесплатного ПО не существует. Заявка на изменение разрешенного программного обеспечения содержит: полное наименование программного обеспечения и его производителя, описание функциональной направленности программного обеспечения, обоснование для использования программного обеспечения, ссылку на ресурс Интернет, где размещено программное обеспечение и подробная информация о нем.
4.8. Служба, ответственная за поддержку ИТ инфраструктуры института (зав. отделом ИТ, системный администратор, сетевой администратор) рассматривает заявку, проводит тестирование по необходимости и утверждает у ответственного за информационную безопасность.
4.9. В случае внесения в реестр программного обеспечения, свободно распространяемого в сети Интернет, дистрибутив ПО публикуется на файловых серверах информационной системы института.
4.10. Заявка на изменение реестра разрешенного лицензионного ПО оформляется на ответственного за ИТ инфраструктуру, . Заявка на изменение разрешенного программного обеспечения содержит: полное наименование программного обеспечения и его производителя, описание функциональной направленности программного обеспечения, обоснование использования программного обеспечения. Служба, ответственная за поддержку ИТ инфраструктуры (отдел ИТ), при возможности приобретения, приобретает ПО, устанавливает ПО и осуществляет контроль за использованием лицензий.
4.10.1. Несанкционированное изменение конфигурации лицензионного программного обеспечения пользователями запрещено.
4.11. Ограничений на использование бесплатного ПО не накладывается. Ответственность за установку бесплатного ПО несут специалисты отдела ИТ, ответственность за работу данного типа ПО несут сами пользователи.
4.12. Периодически, но не реже одного раза в год, служба, ответственная за ведение реестра разрешенного ПО (служба ответственная за ИТ поддержку), выполняет проверку на соответствие установленного ПО на компьютеры института, внесенного в реестр, согласно графика проведения профилактического осмотра.
5. КОНТРОЛЬ
5.1. Контроль от имени института за исполнением данной политики безопасности выполняет ответственный за информационную безопасность института .
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Файловый обмен.
1. ВВЕДЕНИЕ
1.1. Неконтролируемый файловый обмен – это потенциальная опасная ситуация, которая может привести к потере или разглашению информации составляющей коммерческую тайну, дискредитации института, разглашению персональных данных сотрудников и т. д.
1.2. Цель данной политики – определение правил обмена файлами между пользователями.
2. ОБЛАСТЬ ДЕЙСТВИЯ
2.1. Область действия данной политики распространяется на всех пользователей института.
3. ПОЛИТИКА
3.1. Любая информация в электронном виде (в том числе файлы), обращающаяся в сети института, принадлежит ему.
3.2. Сотрудники института не могут ожидать конфиденциальности информации в электронном виде для института, включая, но не ограничиваясь, передаваемой по каналам связи принадлежащим институту, хранящейся на рабочих станциях, серверах.
3.3. Пользователям запрещается хранение информации развлекательного характера в своей папке пользователя. Любая подобная информация может быть удалена без дополнительного уведомления.
3.4. Полный доступ к документам пользователя имеет только сам пользователь.
3.5. Доступ к документам пользователя в режиме чтения имеет администратор файлового сервера и специалисты службы информационной безопасности. Данная политика не распространяется на доступ к документам, содержащую конфиденциальную информацию в соответствии с положением «О коммерческой тайне»
3.6. Пользователям запрещается самостоятельно организовывать файловые серверы в независимости от способа их реализации.
3.7. Пользователям запрещается самостоятельно открывать общий доступ к папкам на своем компьютере.
3.8. Для передачи файлов между собой внутри института пользователи должны использовать только свою папку пользователя, электронную почту.
3.9. Запрещается применять любые виды шифрования при передаче файлов, как внутри института, так и за его пределы, кроме лиц, имеющих на это право в соответствии с положением «О коммерческой тайне»
3.10. Допускается шифрование только внешних каналов связи.
4. КОНТРОЛЬ
4.1. Контроль от имени института за исполнением данной политики безопасности выполняет ответственный за информационную безопасность института .
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Эксплуатация портативных мобильных устройств.
1. ТЕРМИНЫ И НОРМАТИВНЫЕ ССЫЛКИ
1.1. КПК – карманный персональный компьютер(Pocket HC)
1.2. Ноутбук – переносной персональный компьютер (Laptop)
1.3. Гаджет – портативное устройство с ограниченной функциональностью (USB накопители, MP3 плееры, ридеры и т. д.)
1.4. Коммуникатор – телефон с расширенной функциональностью карманного компьютера.
1.5. Мобильные портативные устройства – гаджеты различного типа, КПК, ноутбуки, коммуникаторы.
2. ВВЕДЕНИЕ
2.1. В информационной среде мобильные устройства сегодня являются одним из основных источников утечки информации.
2.2. Цель данной политики – определение правил эксплуатации и администрирования мобильных портативных устройств.
3. ОБЛАСТЬ ДЕЙСТВИЯ
3.1. Область действия данной политики безопасности распространяется на всех пользователей и на все мобильные портативные устройства, используемые в ИТ инфраструктуре института.
4. ПОЛИТИКА
4.1. Все портативные мобильные устройства учтены в реестре аппаратного обеспечения. Данные о вновь приобретаемых мобильных устройствах должны обновляться ежемесячно. Неконтролируемое подключение портативных мобильных устройств к элементам ИТ инфраструктуры института запрещено.
4.2. Подключение собственных мобильных устройств к ИТ инфраструктуре предприятия запрещено, если они не внесены в реестр аппаратного обеспечения.
4.3. Подключение всех портативных устройств контролируется службой ответственной за поддержку инфраструктуры института посредством технических решений на основе данной политики безопасности.
4.4. Предоставление портативных мобильных устройств разрешено по производственной необходимости по заявке пользователя согласно общепринятому алгоритму получения средств вычислительной техники в институте.
4.5. Доступ к портативным мобильным устройствам осуществлять на основе пароля, если это предусмотрено функциональностью устройства. Беспарольная работа на мобильном устройстве при подключении к ИТ инфраструктуре запрещена.
4.6. Портативный персональный компьютер приравнивается к персональному компьютеру, и все требования безопасности, в том числе исправления по безопасности, антивирусное ПО и др., применяются в полной мере.
4.7. Администрирование портативных мобильных устройств осуществляется службой ответственной за поддержку ИТ инфраструктуры института. Ответственность за конфигурирование устройства требованиям информационной безопасности института несет служба, ответственная за поддержку ИТ инфраструктуры института. Ответственность за эксплуатацию устройства несет пользователь.
5. КОНТРОЛЬ
5.1. Контроль от имени института за исполнением данной политики безопасности выполняет ответственный за информационную безопасность института .
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Политика пользователя.
1. Введение
1.1. Дана политика безопасности заключается:
1.1.1. В определении основных правил работы пользователей с компьютерной техникой и корпоративной информационной системой для поддержания необходимого уровня информационной безопасности в институте.
1.1.2. В информировании пользователя о том, что любые его действия в корпоративной информационной системе или работа на любом компьютере, входящем в его в ее состав, могут быть запротоколированы и использованы в дальнейшем для проведения служебных проверок.
1.1.3. Данная политика является частью политик пользователя, определяющих его права и обязанности.
2. ОБЛАСТЬ ПРИМЕНЕНИЯ
2.1. Действие данной политики распространяется на всех работников института.
3. ПОЛИТИКА
3.1. Пользователю разрешается выполнять только те действия в корпоративной информационной системе, которые явно разрешены соответствующими политиками информационной безопасности.
3.2. Основные требования к управлению программным обеспечением определяются политикой безопасности «Управление программным обеспечением»
3.3. Всем сотрудникам запрещается создавать или использовать программное обеспечение, модули для программного обеспечения, включенного в перечень разрешенного ПО, в том числе составные части операционных систем, реализующие следующие функции:
3.3.1. Нарушение работы серверов или рабочих станций, активного оборудования или отдельных элементов информационных систем
3.3.2. Перехватывание/подмена сетевого трафика
3.3.3. Получение несанкционированного доступа к серверам, рабочим станциям информационных систем, используя уязвимости или недокументированные функции
3.3.4. Запрещается преодолевать любые системы защиты, направленные на разграничение прав доступа, защиты информации составляющей коммерческую тайну, содержащей персональные данные и т. д.
3.3.5. Пользователь должен блокировать компьютер, в случае необходимости оставить без присмотра свое рабочее место, если компьютер не блокируется автоматически.
3.3.6. Компьютер автоматически блокируется при простое более 10 минут.
3.4. Требования к аппаратному обеспечению:
3.4.1. Изменение конфигурации аппаратного обеспечения рабочих станций производится по заявке пользователя, согласованной с начальником подразделения пользователя и ответственным за развитие ИТ инфраструктуры института .
3.4.2. Внесение изменений в конфигурацию рабочих станций института осуществляют специалисты отдела информационных технологий, осуществляющие поддержку ИТ инфраструктуры института
3.4.3. Несанкционированное изменение аппаратной конфигурации рабочих станций запрещено и виновное в нарушении лицо может быть привлечено к дисциплинарной ответственности.
3.5. Требования к предоставлению сервисов:
3.5.1. Доступ к сервисам для сотрудников института осуществляется на основании согласованного с руководителем подразделения пользователя представления на подключение к ресурсам и услугам.
3.5.2. Удаленное подключение к корпоративной сети осуществляется по согласованию с ответственным за информационную безопасность при наличии обоснования необходимости подключения.
3.6. Требования по использованию электронной почты определены в политике безопасности «Политика информационной безопасности. Электронная почта»
3.7. Требования по использованию сети Интернет определены в политике безопасности «Политика информационной безопасности. Интернет»
3.8. Требования по использованию антивирусной защиты определены в политике безопасности «Политика информационной безопасности. Антивирусная защита»
3.9. Требования к файловому обмену данными определены в политике безопасности «Политика информационной безопасности. Файловый обмен»
3.10. Требования к учетным записям в домене и правилам регистрации в домене определены в политике безопасности «Политика информационной безопасности. Управление доменом»
3.11. Требования по эксплуатации портативных мобильных устройств определены в политике безопасности «Политика информационной безопасности. Политика эксплуатации портативных мобильных устройств»
3.12. Пользователи, имеющие привилегию удаленного доступа, должны гарантировать, что их компьютеры, которые удаленно подключены к сети института, не подключены в то же самое время ни в какую другую сеть.
3.13. Пользователи, обладающие удаленным доступом к вычислительной сети института, несут такую же ответственность, как и в случае локального подключения к сети института.
3.14. Пользователь должен знать и выполнять требования всех политик безопасности.
4. ПРАВА И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЯ
4.1. Пользователь имеет право:
4.1.1. Требовать постоянной работоспособности рабочей станции
4.1.2. Требовать изменения конфигурации рабочей станции в установленном порядке
4.1.3. Требовать предоставления ИТ сервиса для выполнения своих должностных обязанностей в установленном порядке согласно п.3.4. данной политики
4.1.4. В случае конфликтных ситуаций обращаться к руководству администраторов всех уровней, а также непосредственно к лицу ответственному за информационную безопасность.
4.1.5. Пользователь обязан выполнять все пункты данной политики безопасности института, имеющие отношение к их служебной деятельности, определенной должностными инструкциями подразделений.
5. КОНТРОЛЬ
5.1. Контроль от имени института за исполнением данной политики безопасности выполняет ответственный за информационную безопасность института .
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Архивирование, резервное копирование
и восстановление данных
1. Термины и нормативные ссылки
1.1. Операционное резервное копирование и восстановление данных представляет процесс резервного копирования, создания копии данных на случай потери в результате выхода из строя оборудования, ошибки оператора и т. п.
1.2. Архивирование – это процесс создания копии файла или набора файлов на специально выделенном накопителе, предназначенном для длительного хранения.
1.3. Восстановление после катастроф включает все действия по организации, управлению и автоматизации процесса восстановления после потери (разрушения) информационной инфраструктуры и данных. Это включает процессы перемещения данных в специально отведенные безопасные места, процессы восстановления информационной инфраструктуры и процессы восстановления данных в установленные сроки
2. ВВЕДЕНИЕ
2.1. Сегодня, когда бизнес полагается на информационные технологии, данные становятся одним из наиболее важных активов института и определяют его конкурентоспособность. Архивирование данных, разработка планов восстановления является важной частью поддержки ИТ инфраструктуры в целях обеспечения непрерывности бизнеса.
2.2. Цель данной политики – определение правил архивирования, резервного копирования и восстановления данных.
3. ОБЛАСТЬ ДЕЙСТВИЯ
3.1. Область действия данной политики распространяется на все критически важные для бизнеса данные сервисов, служб и приложений.
4. ПОЛИТИКА
4.1. Требования к архивированию, резервному копированию и восстановлению данных определяется уровнем риска сервиса, требованием к доступности сервиса и устанавливаются следующие:
4.1.1. Режим работы сервиса Интернет круглосуточный, время восстановления 2 часа (не по вине провайдера, предоставляющего доступ к сети)
4.1.2. Режим работы электронной почты круглосуточный, время восстановления 4 часа (не по вине провайдера, предоставляющего доступ к сети)
4.1.3. Режим работы файлового архива круглосуточный, время восстановления 4 часа.
4.1.4. Режим работы системы по управлению предприятием круглосуточный, время восстановления 4 часа. Полное ежедневное копирование базы данных и хранение в течение 30 дней. 2 раза в год полное копирование и хранение в течение 5 лет.
5. КОНТРОЛЬ
5.1. Контроль от имени института за исполнением данной политики безопасности выполняет ответственный за информационную безопасность института .
