Файл: 1 Политика информационной безопасности ооо смк ресомед г. Москва, 2014 2 Содержание 1.pdf
Добавлен: 29.11.2023
Просмотров: 120
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
7 сведения ограниченного распространения (коммерческая, врачебная тайна, персональные данные) а также общедоступные сведения.
В документообороте АС присутствуют:
• платежные поручения и другие расчетно-денежные документы;
• отчеты (бухгалтерские, управленческие и др.);
• сведения о выданных страховых медицинских полисах;
• сведения о взаиморасчетах за пролеченных пациентов;
• сведения о качестве оказанной медицинской помощи;
• обобщенная информация и другие документы.
• и т.д.
В соответствии с федеральным законом № 149-ФЗ от 27.07.2006 «Об информации, ин- форматизации и защите информации» защите подлежит вся информация, циркулирующая в
АС, содержащая конфиденциальную информацию:
• сведения, составляющие коммерческую тайну, доступ к которым ограничен собственни- ком информации (Обществом) в соответствии с правами, предоставленными Федераль- ным законом № 98-ФЗ от 29.07.04 «О коммерческой тайне»;
• персональные данные физических лиц, доступ к которым ограничен в соответствии с Фе- деральным законом № 152-ФЗ от 27 июля 2006 г. «О персональных данных»;
• сведения, составляющие врачебную тайну, доступ к которым ограничен в соответствии с
Приказом Федерального фонда ОМС от 25.03.98 № 30 «О соблюдении конфиденциально- сти сведений, составляющих врачебную тайну».
3.4 Категории пользователей АС, режимы использования и уровни
доступа к информации
В Обществе имеются несколько категорий пользователей, которые должны иметь раз- личные полномочия по доступу к информационным ресурсам АС:
• пользователи баз данных (конечные пользователи, работники подразделений Общества);
• ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД);
• администраторы серверов (файловых серверов, серверов приложений, серверов баз дан- ных) и ЛВС;
• системные программисты (ответственные за сопровождение общего программного обес- печения) на серверах и рабочих станциях пользователей;
• разработчики прикладного программного обеспечения;
• специалисты по обслуживанию технических средств вычислительной техники;
• администраторы информационной безопасности и др.
3.5 Уязвимость основных компонентов АС
Наиболее доступными и уязвимыми компонентами АС являются рабочие станции – ав- томатизированные рабочие места (АРМ) работников подразделений Общества. Именно с них могут быть предприняты наиболее многочисленные попытки несанкционированного доступа к информации (НСД) и попытки совершения несанкционированных действий (непреднаме- ренных и умышленных). С рабочих станций осуществляется управление процессами обра- ботки информации (в том числе на серверах), запуск программ, ввод и корректировка дан- ных, на дисках рабочих станций могут размещаться важные данные и программы обработки.
На мониторы и печатающие устройства рабочих станций выводится информация при работе пользователей, выполняющих различные функции и имеющих разные полномочия по досту- пу к данным и другим ресурсам системы. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования
8 могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.
В особой защите нуждаются такие элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Здесь злоумышленники, прежде всего, могут ис- кать возможности получения доступа к защищаемой информации и оказания влияния на ра- боту различных подсистем серверов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам серверов. При этом могут предприниматься попытки как удаленного (со станций сети) так и непосредственного (с консоли сервера) воз- действия на работу серверов и их средств защиты.
Мосты, шлюзы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезоргани- зации работы сети, перехвата передаваемой информации, анализа трафика и реализации дру- гих способов вмешательства в процессы обмена данными.
4. Цели и задачи обеспечения информационной безопасности
4.1 Интересы затрагиваемых при эксплуатации АС субъектов
информационных отношений
Субъектами правоотношений при использовании АС и обеспечении информационной безопасности являются:
• Общество как собственник информационных ресурсов;
• ИТ-подразделения Общества, обеспечивающие эксплуатацию систем смешанной обра- ботки информации;
• должностные лица и работники структурных подразделений Общества, как пользователи и поставщики информации в АС в соответствии с возложенными на них функциями;
• юридические и физические лица, сведения о которых накапливаются, хранятся и обраба- тываются в АС;
• другие юридические и физические лица, задействованные в процессе создания и функци- онирования АС (разработчики компонентов АС, обслуживающий персонал, организации, привлекаемые для оказания услуг в области безопасности, информационных технологий и др.).
Перечисленные субъекты информационных отношений заинтересованы в обеспечении:
• конфиденциальности (сохранения в тайне) определенной части информации;
• достоверности (полноты, точности, адекватности, целостности) информации;
• защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);
• своевременного доступа (за приемлемое для них время) к необходимой им информации;
• разграничения ответственности за нарушения законных прав (интересов) других субъек- тов информационных отношений и установленных правил обращения с информацией;
• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
• защиты части информации от незаконного её тиражирования (защиты авторских прав, прав собственника информации и т.п.).
4.2 Цели защиты
Основной целью, на достижение которой направлены все положения настоящей Поли- тики, является защита субъектов информационных отношений (интересы которых затраги- ваются при создании и функционировании АС) от возможного нанесения им ощутимого ма- териального, физического, морального или иного ущерба посредством случайного или пред-
9 намеренного несанкционированного вмешательства в процесс функционирования АС или несанкционированного доступа к циркулирующей в ней информации и её незаконного ис- пользования.
Указанная цель достигается посредством обеспечения и постоянного поддержания сле- дующих свойств информации и системы её обработки:
• доступности обрабатываемой информации для зарегистрированных пользователей
(устойчивого функционирования АС, при котором пользователи имеют возможность по- лучения необходимой информации и результатов решения задач за приемлемое для них время);
• сохранения в тайне (обеспечения конфиденциальности) определенной части информации, хранимой, обрабатываемой средствами вычислительной техники (СВТ) и передаваемой по каналам связи;
• целостности и достоверности информации, хранимой и обрабатываемой в АС и передава- емой по каналам связи.
4.3 Основные задачи системы обеспечения информационной безопасности
АС
Для достижения основной цели защиты и обеспечения указанных свойств информации и системы её обработки система безопасности АС должна обеспечивать эффективное реше- ние следующих задач:
• защиту от вмешательства в процесс функционирования АС посторонних лиц (возмож- ность использования автоматизированной системы и доступ к её ресурсам должны иметь только зарегистрированные установленным порядком пользователи – работники струк- турных подразделений Общества);
• разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС (возможность доступа только к тем ресурсам и выполне- ния только тех операций с ними, которые необходимы конкретным пользователям АС для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа:
• к информации, циркулирующей в АС;
• средствам вычислительной техники (СВТ) АС;
• аппаратным, программным и криптографическим средствам защиты, используемым в АС;
• регистрацию действий пользователей при использовании защищаемых ресурсов АС в си- стемных журналах и периодический контроль корректности действий пользователей си- стемы путем анализа содержимого этих журналов ответственными за информационную безопасность;
• контроль целостности (обеспечение неизменности) среды исполнения программ и её вос- становление в случае нарушения;
• защиту от несанкционированной модификации и контроль целостности используемых в
АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
• защиту информации ограниченного распространения от утечки по техническим каналам при её обработке, хранении и передаче по каналам связи;
• защиту информации ограниченного распространения, хранимой, обрабатываемой и пере- даваемой по каналам связи, от несанкционированного разглашения или искажения;
• обеспечение аутентификации пользователей, участвующих в информационном обмене
(подтверждение подлинности отправителя и получателя информации);
• обеспечение живучести криптографических средств защиты информации при компроме- тации части ключевой системы;
10
• своевременное выявление источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информаци- онных отношений, создание механизма оперативного реагирования на угрозы информа- ционной безопасности и негативные тенденции;
• создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвида- ция последствий нарушения информационной безопасности.
4.4 Основные пути достижения целей защиты (решения задач системы
защиты)
Поставленные основные цели защиты и решение перечисленных выше задач достига- ются:
• строгим учетом всех подлежащих защите ресурсов системы (информации, систем управ- ления базами данных и другого системного и прикладного программного обеспечения, каналов связи, серверов, АРМ);
• регламентацией процессов обработки подлежащей защите информации, с применением средств автоматизации и действий работников структурных подразделений Общества, ис- пользующих АС, а также действий персонала, осуществляющего обслуживание и моди- фикацию программных и технических средств АС, на основе утвержденных генеральным директором Общества организационно-распорядительных документов по вопросам обес- печения информационной безопасности;
• полнотой, реальной выполнимостью и непротиворечивостью требований организационно- распорядительных документов Общества по вопросам обеспечения информационной без- опасности;
• назначением и подготовкой должностных лиц (работников), ответственных за организа- цию и осуществление практических мероприятий по обеспечению информационной без- опасности и процессов её обработки;
• наделением каждого пользователя АС минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС;
• четким знанием и строгим соблюдением всеми работниками, использующими и обслужи- вающими аппаратные и программные средства АС, требований организационно- распорядительных документов по вопросам обеспечения информационной безопасности;
• персональной ответственностью за свои действия каждого работника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;
• реализацией технологических процессов обработки информации с использованием ком- плексов организационно-технических мер защиты программного обеспечения, техниче- ских средств и данных;
• принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС;
• применением физических и технических (программно-аппаратных) средств защиты ре- сурсов системы и непрерывной административной поддержкой их использования;
• разграничением потоков информации различного уровня конфиденциальности, а также запрещением передачи информации ограниченного распространения по незащищенным каналам связи;
• эффективным контролем соблюдения работниками подразделений Общества – пользова- телями АС требований по обеспечению информационной безопасности;
• юридической защитой интересов Общества при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных дей-
11 ствий, как со стороны этих организаций, так и от несанкционированных действий обслу- живающего персонала и третьих лиц;
• проведением постоянного анализа эффективности и достаточности принятых мер и при- меняемых средств защиты информации, разработкой и реализацией предложений по со- вершенствованию системы защиты информации в АС.
5. Основные угрозы информационной безопасности АС
5.1 Угрозы информационной безопасности и их источники
Наиболее опасными (значимыми) угрозами информационной безопасности АС (спосо- бами нанесения ущерба субъектам информационных отношений) являются:
• нарушение конфиденциальности (разглашение, утечка) сведений, составляющих коммер- ческую или врачебную тайну, а также персональных данных;
• нарушение работоспособности (дезорганизация работы) АС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
• нарушение целостности (искажение, подмена, уничтожение) информационных, про- граммных и других ресурсов АС, а также фальсификация (подделка) документов.
Основными источниками угроз информационной безопасности АС являются:
• непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыст- ных целей) нарушения установленных регламентов сбора, обработки и передачи инфор- мации, а также требований информационной безопасности и другие действия работников
(в том числе администраторов средств защиты) структурных подразделений Общества при эксплуатации АС, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций (АРМ), подсистем или АС в целом;
• преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыс- лом и т.п.) действия работников подразделений Общества, допущенных к работе с АС, а также работников подразделений Общества, отвечающих за обслуживание, администри- рование программного и аппаратного обеспечения, средств защиты и обеспечения инфор- мационной безопасности;
• воздействия из других логических и физических сегментов АС со стороны работников других подразделений Общества, в том числе программистов-разработчиков прикладных задач, а также удаленное несанкционированное вмешательство посторонних лиц из теле- коммуникационных сетей Общества и внешних сетей общего назначения (Internet) через легальные и несанкционированные каналы подключения сети Общества к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам АС;
• деятельность международных и отечественных преступных групп и формирований, поли- тических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и её отдельных компонентов;
• ошибки, допущенные при проектировании АС и её системы защиты, ошибки в программ- ном обеспечении, отказы и сбои технических средств (в том числе средств защиты ин- формации и контроля эффективности защиты) АС;
• аварии, стихийные бедствия и т.п.