Файл: 1 Политика информационной безопасности ооо смк ресомед г. Москва, 2014 2 Содержание 1.pdf

1
Политика информационной безопасности
ООО «СМК РЕСО-Мед» г.Москва, 2014

2
Содержание:
1.
Введение .................................................................................................................................... 3 2.
Общие положения .................................................................................................................... 3 2.1
Назначение и правовая основа документа ............................................................................. 3 3.
Объекты защиты ....................................................................................................................... 4 3.1
Назначение, цели создания и эксплуатации АС как объекта информатизации ................. 5 3.2
Структура, состав и размещение основных элементов АС, информационные связи с другими объектами ................................................................................................................... 5 3.3
Категории информационных ресурсов, подлежащих защите .............................................. 6 3.4
Категории пользователей АС, режимы использования и уровни доступа к информации 7 3.5
Уязвимость основных компонентов АС ................................................................................ 7 4.
Цели и задачи обеспечения информационной безопасности ............................................... 8 4.1
Интересы затрагиваемых при эксплуатации АС субъектов информационных отношений8 4.2
Цели защиты ............................................................................................................................. 8 4.3
Основные задачи системы обеспечения информационной безопасности АС ................... 9 4.4
Основные пути достижения целей защиты (решения задач системы защиты) ............... 10 5.
Основные угрозы информационной безопасности АС ....................................................... 11 5.1
Угрозы информационной безопасности и их источники ................................................... 11 5.2
Пути реализации непреднамеренных искусственных (субъективных) угроз информационной безопасности в АС ................................................................................... 12 5.3
Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала .................................................................................................. 13 5.4
Утечка информации по техническим каналам .................................................................... 14 5.5
Неформальная модель возможных нарушителей ................................................................ 16 6.
Основные положения технической политики в области обеспечения информационной безопасности АС ..................................................................................................................... 18 6.1
Техническая политика в области обеспечения информационной безопасности ............. 18 6.2
Формирование режима информационной безопасности .................................................... 19 6.3
Оснащение техническими средствами хранения и обработки информации .................... 21 7.
Основные принципы построения системы комплексной защиты информации .............. 22 8.
Меры, методы и средства обеспечения требуемого уровня защищённости информационных ресурсов ................................................................................................... 25 8.1
Меры обеспечения безопасности .......................................................................................... 25
8.1.1
Законодательные (правовые) меры защиты ........................................................................................ 25
8.1.2
Морально-этические меры защиты ...................................................................................................... 26
8.1.3
Организационные (административные) меры защиты ...................................................................... 26
8.2
Физические средства защиты ................................................................................................ 31
8.2.1
Разграничение доступа на территорию и в помещения ..................................................................... 31
8.3
Технические (программно-аппаратные) средства защиты ................................................. 32
8.3.1
Средства идентификации (опознавания) и аутентификации (подтверждения подлинности)
пользователей .......................................................................................................................................................... 33

3
8.3.2
Средства разграничения доступа зарегистрированных пользователей системы к ресурсам АС . 34
8.3.3
Средства обеспечения и контроля целостности программных и информационных ресурсов ...... 34
8.3.4
Средства оперативного контроля и регистрации событий безопасности ..................................... 35
8.3.5
Криптографические средства защиты информации .......................................................................... 36
8.4
Защита информации от утечки по техническим каналам .................................................. 36 8.5
Управление системой обеспечения информационной безопасности ................................ 37 8.6
Контроль эффективности системы защиты ......................................................................... 38 9.
Первоочередные мероприятия по обеспечению информационной безопасности АС .... 38
Список используемых сокращений ................................................................................................ 41
Термины и определения .................................................................................................................. 42
1. Введение
Развитие и распространение информационных технологий, обострение конкурентной борьбы и криминогенной обстановки, требуют создания целостной системы информацион- ной безопасности, взаимоувязывающей правовые, оперативные, технологические, организа- ционные, технические и физические меры защиты информации.
Настоящая Политика определяет систему взглядов на проблему обеспечения информа- ционной безопасности в единой информационной телекоммуникационной системе (далее – автоматизированной системе) Общества с ограниченной ответственностью «Страховая ме- дицинская компания РЕСО-Мед» (далее – Общество).
2. Общие положения
2.1 Назначение и правовая основа документа
Настоящая «Политика информационной безопасности Общества» (далее – Политика) представляет собой официально принятую систему взглядов на проблему обеспечения ин- формационной безопасности в автоматизированных системах (АС) Общества. Политика со- держит систематизированное изложение целей и задач защиты, основных принципов и спо- собов достижения требуемого уровня информационной безопасности, организационных, технологических и процедурных аспектов обеспечения информационной безопасности в АС.
Политика учитывает современное состояние и ближайшие перспективы развития АС, цели, задачи и правовые основы её создания и эксплуатации, режимы функционирования данной системы, а также анализа угроз безопасности для информационных ресурсов Обще- ства.
Правовой основой настоящей Политики являются:
−
Конституция Российской Федерации;
−
Гражданский и Уголовный кодексы;
−
Кодекс об административных правонарушениях;
− законы, указы, постановления и другие нормативные документы действующего законода- тельства Российской Федерации;
− нормативные документы федерального и территориальных фондов обязательного меди- цинского страхования, министерств здравоохранения и социального развития, Федераль- ной службы страхового надзора и др.;
− нормативные и регламентирующие документы государственных органов Российской Фе- дерации (ФСТЭК, ФСБ, Роскомнадзор и др.);

4
− внутренние нормативно-методические и организационно-распорядительные документы
Общества.
Основные положения и требования Политики распространяются на все структурные подразделения Общества, в которых осуществляется автоматизированная и смешанная обра- ботка информации, содержащей сведения, составляющие коммерческую, служебную, вра- чебную тайну или персональные данные, а также на подразделения, осуществляющие сопро- вождение, обслуживание и обеспечение нормального функционирования АС. Основные по- ложения Политики могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействующие с АС в качестве поставщиков и потре- бителей (пользователей) информации АС.
Политика является методологической основой для:
− формирования и проведения единой политики в области информационной безопасности в
АС;
− разработки стратегии информационной безопасности Общества, включая цели, задачи и комплекс мер по её практической реализации;
− принятия управленческих решений и разработки практических мер по воплощению поли- тики информационной безопасности и выработки комплекса согласованных мер норма- тивно-правового, технологического и организационно-технического характера, направ- ленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз информационной безопасности;
− координации деятельности структурных подразделений Общества при проведении работ по созданию, развитию и эксплуатации АС с соблюдением требований информационной безопасности;
− разработки предложений по совершенствованию правового, нормативного, методическо- го, технического и организационного обеспечения информационной безопасности АС.
Политика не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов АС, защиты от стихийных бедствий, сбоев в системе энергоснабжения, а также меры по обеспечению личной безопасности пер- сонала и клиентов Общества. Однако она предполагает построение системы информацион- ной безопасности на тех же концептуальных основах, что и система безопасности Общества в целом (имущественная, физическая и т.д.). Это позволяет не только принципиально, но и практически сопрягать их, оптимизируя затраты на построение такой системы.
При разработке Политики учитывались основные принципы создания комплексных си- стем обеспечения информационной безопасности, характеристики и возможности организа- ционно-технических методов и современных аппаратно-программных средств защиты и про- тиводействия угрозам информационной безопасности, а также текущее состояние и перспек- тивы развития информационных технологий.
3. Объекты защиты
Объекты информационной безопасности – это компоненты информационной среды, угрозы которым представляют опасность для застрахованных, страхователей, работников, акционеров Общества и т.д. Основными объектами информационной безопасности в Обще- стве являются:
• информационные ресурсы с ограниченным доступом, составляющие коммерческую, вра- чебную, служебную тайну, персональные данные, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности инфор- мационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представле- ния;
• процессы обработки информации в АС – информационные технологии, регламенты и

5 процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков, администраторов и пользователей АС;
• информационная инфраструктура, включающая системы обработки и анализа информа- ции, технические и программные средства её обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты
АС.
3.1 Назначение, цели создания и эксплуатации АС как объекта
информатизации
АС предназначены для автоматизации деятельности работников Общества. Создание и применение АС преследует следующие цели:
• повышение качества управления бизнес-процессами;
• повышение качества контроля движения информационных, материальных и финансовых ресурсов Общества;
• повышение оперативности и достоверности процедур сбора данных о состоянии матери- альных и финансовых ресурсов Общества;
• сокращение финансовых и временных затрат на поддержку внутреннего и внешнего до- кументооборота;
• повышение оперативности и обоснованности прогнозирования коммерческой деятельно- сти Общества;
• повышение оперативности и обоснованности планирования расходов финансовых ресур- сов Общества и т.д.
А также обеспечения следующих основных процессов:
• интегрированной обработки информации, формирования и ведения специализированных баз данных;
• взаимодействия с клиентами Общества и другими внешними организациями;
• информационно-справочного обслуживания структурных подразделений Общества;
• анализа и прогнозирования деятельности Общества, обоснования принятия управленче- ских решений.
3.2 Структура, состав и размещение основных элементов АС,
информационные связи с другими объектами
АС представляют собой системы (подсистемы) центрального и территориальных под- разделений
Общества, связанные между собой посредством информационно- телекоммуникационной сети общего пользования.
В различных АС циркулирует информация разных категорий. Конфиденциальная ин- формация может совместно использоваться различными пользователями локальной вычис- лительной сети структурных подразделений Общества.
В ряде АС предусмотрено взаимодействие с внешними (государственными и коммер- ческими) организациями по коммутируемым и выделенным каналам с использованием средств передачи информации.
Комплекс технических средств АС включает средства обработки данных (ПЭВМ, сер- веры и т.п.), средства обмена данными в ЛВС с возможностью выхода в глобальные сети
(кабельная система, модемы и т.д.), а также средства хранения (в т.ч. архивирования) дан- ных.
К основным особенностям функционирования АС, относятся:
• территориальная распределённость ряда автоматизированных систем;

6
• объединение в АС технических средств обработки и передачи информации;
• разнородность решаемых задач и типов обрабатываемых данных, смешанная (ручная и автоматизированная) обработка информации с совмещением выполнения информацион- ных запросов различных пользователей;
• объединение в ряде баз данных информации различного назначения, принадлежности и уровней конфиденциальности;
• непосредственный доступ к вычислительным и информационным ресурсам различных категорий пользователей (источников и потребителей информации);
• наличие нескольких каналов взаимодействия с «внешним миром» (источниками и потре- бителями информации);
• отсутствие необходимости в непрерывном функционировании АС;
• невысокая интенсивность информационных потоков в АС;
• наличие АС с различными требованиями по уровням защищенности (физически не объ- единенных в единую сеть);
• разнообразие категорий пользователей АС.
Общая структурная и функциональная организация АС определяется организационно- штатной структурой Общества и задачами, решаемыми его структурными подразделениями с применением средств автоматизации. В самом общем виде, единая телекоммуникационная информационная система Общества представляет собой совокупность локальных вычисли- тельных сетей (ЛВС) филиалов Общества, объединенных средствами телекоммуникации.
Каждая ЛВС в АС объединяет ряд взаимосвязанных и взаимодействующих автоматизиро- ванных подсистем (технологических участков), обеспечивающих решение задач в отдельных структурных подразделениях Общества.
Объекты информатизации АС включают:
• технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование);
• информационные ресурсы, в том числе содержащие сведения ограниченного распростра- нения и представленные в виде документов или записей в носителях на магнитной, опти- ческой и другой основе, массивах и базах данных;
• программные средства (операционные системы, системы управления базами данных, дру- гое общесистемное и прикладное программное обеспечение);
• автоматизированные системы связи и передачи данных (средства телекоммуникации);
• каналы связи, по которым передается информация (в том числе ограниченного распро- странения);
• служебные помещения, в которых циркулирует информация (в том числе ограниченного распространения);
• технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы – ВТСС), размещенные в помещениях, где обрабатывает- ся информация, содержащая сведения ограниченного распространения.
Обеспечение функционирования и эксплуатация АС осуществляется отделом инфор- мационного обеспечения Общества и подразделениями (службами, отделами, группами и отдельными сотрудниками) информационного обеспечения (информационных технологий, автоматизации) филиалов Общества (далее – ИТ-подразделения) на основании требований организационно-распорядительных документов руководства Общества и вышестоящих ин- станций (ТФОМС, Министерств здравоохранения и др.).
3.3 Категории информационных ресурсов, подлежащих защите
В АС циркулирует информация различных уровней конфиденциальности, содержащая