ПРИКАЗ. Перечень помещений, в которых разрешена работа с ресурсами {Наименование МО}, в которых размещены технические средства {Наименование МО}, а также перечень лиц, допущенных к работе с техническими средствами. Название/номер помещения

Шапка приказа организации

ПРИКАЗ

«___» _________ 20__ г.

№_______

Об утверждении политики информационной безопасности {Наименование МО}

В целях исполнения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»,

ПРИКАЗЫВАЮ:

1. Утвердить прилагаемую политику информационной безопасности {Наименование МО}.

2. Ответственному за организацию обработки персональных данных в {Наименование МО}, Администратору безопасности в {Наименование МО} и Пользователям {Наименование МО} в своей работе руководствоваться политикой информационной безопасности.

3. Администратору безопасности {Наименование МО} ознакомить пользователей {Наименование МО} с политикой информационной безопасности.

4. Контроль за исполнением настоящего приказа оставляю за собой.

Главный врач

________________

{И. О. Фамилия}

УТВЕРЖДЕНА

приказом {Наименование МО}

от «___» __________20__г. № ___

Политика информационной безопасности {Наименование МО}

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая политика информационной безопасности {Наименование МО} (далее - Политика) утверждается главным врачом {Наименование МО} и определяет мероприятия, процедуры и правила по защите информации в информационных системах {Наименование МО}.

1.2. Положения настоящей Политики обязательны к исполнению для всех пользователей {Наименование МО} (далее - Пользователи), а также для администраторов безопасности и системных администраторов (далее - Администраторы).

1.3. В соответствии с указом Президента Российской Федерации № 188 от 6 марта 1997 года к сведениям конфиденциального характера (защищаемой информации) в {Наименование МО} относятся:

· сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

· сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);

· сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

1.4. Целями настоящей Политики являются:

· обеспечение конфиденциальности, целостности, доступности защищаемой информации;

· предотвращение утечек защищаемой информации;

· мониторинг событий безопасности и реагирование на инциденты безопасности;

· нейтрализация актуальных угроз безопасности информации;

· выполнение требований действующего законодательства по защите информации.

1.5. В настоящей Политике используются термины и определения, установленные законодательством Российской Федерации, а также термины и определения, установленные национальными стандартами в области защиты информации.

1.6. Настоящая Политика разработана с учетом положений, следующих законодательных и нормативно-правовых актов:

· Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информатизации и защите информации»;

· Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных»;

· «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные Постановлением Правительства РФ № 1119 от 1 ноября 2012 года;

· «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России № 17 от 11 февраля 2013 года;

· «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный приказом ФСТЭК России № 21 от 18 февраля 2013 года;

· методический документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России 11 февраля 2014 года;

· «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», утверждённые приказом ФСБ России № 378 от 10.07.2014;

· «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации», утвержденное приказом ФСБ от 9 февраля 2005 № 66;

· «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 №1 52.

2. ПРАВИЛА И ПРОЦЕДУРЫ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ РЕГИСЗ ПК, ПОЛИТИКА РАЗГРАНИЧЕНИЯ ДОСТУПА К РЕСУРСАМ РЕГИСЗ ПК

2.1. С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику {Наименование МО}, допущенному к работе с ресурсами {Наименование МО} присваивается уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в {Наименование МО}.

2.2. Учетные записи для Пользователей {Наименование МО} подразделяются на локальные учетные записи для идентификации и аутентификации в операционной системе и учетные записи для идентификации и аутентификации в прикладном программном обеспечении (далее – ПО).

2.3. Использование одного и того же имени пользователя несколькими пользователями (или группового имени для нескольких пользователей) в {Наименование МО} запрещено.

2.4. Администратор перед присваиванием роли Пользователю осуществляет верификацию пользователя (подтверждает его личность), а также уточняет его должностные и функциональные обязанности.

2.5. Перед выдачей первичных аутентификационных данных Администратор ознакамливает Пользователя с Инструкцией Пользователя {Наименование МО} под роспись, сообщает пользователю идентификационные данные и допускает к работе в {Наименование МО}. После допуска к работе в {Наименование МО}, Пользователь самостоятельно изменяет изначальный пароль доступа к своей учетной записи в соответствии с требованиями раздела 3 Инструкции Пользователя {Наименование МО}.

2.6. В качестве модели разграничения доступа к ресурсам {Наименование МО} выбрана ролевая модель. Пользователям назначается роль в разграничительной системе {Наименование МО} в зависимости от выполняемых должностных обязанностей и задач и, соответственно, в зависимости от необходимости по доступу к тем или иным ресурсам {Наименование МО}.

2.7. Список ролей и описание параметров доступа каждой из ролей приведены в Приложении № 1 к настоящей Политике.

2.8. Перечень лиц, их должностей, а также служб и процессов, допущенных к работе с ресурсами {Наименование МО} и сопоставляемые им роли приведены в Приложении № 2 к настоящей Политике. Администратор обеспечивает оперативное обновление и актуальность данного перечня.

2.9. Перечень помещений, в которых разрешена работа с ресурсами {Наименование МО}, расположены технические средства {Наименование МО}, а также перечень лиц, допущенных к работе с ними приведен в Приложении № 3 к настоящей Политике. Администратор обеспечивает оперативное обновление и актуальность данного перечня.

2.10. Перечень устройств (стационарных, мобильных, портативных), используемых в {Наименование МО} приведен в Приложении № 3 к настоящей Политике. Администратор обеспечивает оперативное обновление и актуальность данного перечня. Идентификация и аутентификация устройств в {Наименование МО} осуществляется по совокупности DNS-имени и MAC-адреса устройства. Идентификация и аутентификация устройств осуществляется с помощью механизмов СЗИ от НСД и внутренних механизмов сетевых устройств и серверных операционных систем. В случае выявления посторонних устройств, Администратор оперативно блокирует доступ неустановленного устройства и созывает ГРИИБ, которая в свою очередь устанавливает причины и последствия такого инцидента.

2.11. Идентификация и аутентификация на сетевом оборудовании (коммутаторы, маршрутизаторы, точки доступа и т. д.) разрешена только администраторам безопасности, системным администраторам и сотрудникам сторонней организации, производящим работы в сети {Наименование МО} на договорной основе под контролем Администратора. При вводе в эксплуатацию сетевого оборудования на нем обязательно меняются идентификационные и аутентификационные данные, установленные производителем устройства по умолчанию. Новые идентификационные данные на сетевых устройствах должны соответствовать установленной парольной политике.

2.12. Пользователям запрещены любые действия в {Наименование МО} до прохождения процедуры идентификации и аутентификации в системе. Администратору разрешается ряд действий до прохождения идентификации и аутентификации в {Наименование МО} в ряде случаев. Условия, при которых разрешаются такие действия и перечень разрешенных действий для Администратора до прохождения процедуры идентификации и аутентификации в {Наименование МО} перечислены в инструкции Администратора.

3. ПРАВИЛА И ПРОЦЕДУРЫ УПРАВЛЕНИЯ УСТАНОВКОЙ (ИНСТАЛЛЯЦИЕЙ) КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

3.1. В {Наименование МО} разрешено использование только того ПО, его компонентов, утилит и драйверов, которые необходимы для обеспечения функционирования информационной системы, а также необходимы для выполнения служебных (должностных) обязанностей пользователями.

3.2. Перечень разрешенного ПО в {Наименование МО} определен в Приложении № 4 к настоящей Политике.

3.3. Установка ПО, его компонент, утилит и драйверов осуществляется только системными администраторами или администратором безопасности в соответствии с Приложением № 4. Пользователям запрещена самостоятельная установка любого ПО в {Наименование МО}.

3.4. Пользователь имеет право подать заявку в виде служебной записки на включение в список разрешенного программного обеспечения в {Наименование МО}, необходимых ему для выполнения служебных (должностных) обязанностей программ, утилит, драйверов. В такой служебной записке обязательно указывается обоснование необходимости включения в этот список нового программного обеспечения. Срок рассмотрения заявки должен составлять не более 3 рабочих дней.

3.5. Проверка соответствия состава программного обеспечения в {Наименование МО} списку разрешенного ПО осуществляется периодически Администратором вручную путем выборочной проверки АРМ Пользователей. В случае выявления постороннего программного обеспечения, созывается группа реагирования на инциденты информационной безопасности, которая действует в соответствии с инструкцией по реагированию на инциденты информационной безопасности.

4. ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ, КОНТРОЛЬ ИНТЕРФЕЙСОВ ВВОДА-ВЫВОДА, ГАРАНТИРОВАННОЕ УНИЧТОЖЕНИЕ ИНФОРМАЦИИ

4.1. Одной из основных целей злоумышленников являются машинные носители информации, используемые в {Наименование МО} для хранения и обработки защищаемой информации. Исходя их этого, защита машинных носителей информации (как в стационарных АРМ и серверах, так и мобильных/съемных) является ключевым звеном политики информационной безопасности {Наименование МО}.

4.2. Учет машинных носителей осуществляется Администратором в соответствующих журналах. Администратор несет ответственность за достоверность и своевременность сведений, отраженных в журнале учета машинных носителей информации.

4.3. В {Наименование МО} учету подлежат:

· съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные подобные устройства) {Убрать пункт, если не используются съемные носители};

· машинные носители информации, встроенные в корпус средств вычислительной техники (накопители на жестких дисках).

4.4. Учет машинных носителей информации включает присвоение регистрационных (учетных) номеров носителям. В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера машинных носителей, присвоенных производителями этих машинных носителей информации, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители информации, и иные номера.

4.5. При использовании в составе одного технического средства информационной системы нескольких встроенных машинных носителей информации, конструктивно объединенных в единый ресурс для хранения информации, допускается присвоение регистрационного номера техническому средству в целом.

4.6. {Убрать пункт, если не используются съемные носители} Администратор маркирует съемные машинные носители, использование которых разрешено за пределами контролируемой зоны и информационной системы и делает соответствующую отметку в журнале. Использование немаркированного соответствующим образом носителя информации за пределами контролируемой зоны и/или информационной системы является инцидентом информационной безопасности и расследуется в установленном порядке.

4.7. {Убрать пункт, если не используются съемные носители} Использование неучтенных съемных носителей (в том числе личных) в {Наименование МО} запрещено.

4.8. {Если не используются съемные носители, убрать слово «неучтенных»} Невозможность использования неучтенных съемных носителей информации обеспечивается путем программных настроек СЗИ от НСД. Настройками СЗИ от НСД неучтенные носители информации блокируются на всех стационарных устройствах {Наименование МО} использования неучтенных съемных носителей информации фиксируются средствами СЗИ от НСД. Такие попытки являются инцидентами безопасности и расследуются в установленном порядке.

4.9. Невозможность использования неучтенных машинных носителей в стационарных устройствах обеспечивается путем физического контроля доступа в соответствии с инструкциями Пользователя и Администратора, а также путем проведения периодических мероприятий по инвентаризации ресурсов {Наименование МО} и комплектности технических средств.

4.10. К устройствам ввода в {Наименование МО} относятся: клавиатуры, мыши, сканеры, кард-ридеры, сенсорные экраны (панели), сканеры штрих-кодов, лабораторное и диагностическое оборудование и другие устройства. К интерфейсам ввода допущены все легальные пользователи информационной системы. Допуск к тем или иным интерфейсам ввода организовывается Администратором, в зависимости от выполняемых пользователем должностных обязанностей. Дополнительный контроль устройств ввода не осуществляется.

4.11. Вывод информации на печать дополнительно не контролируется.

4.12. Гарантированное уничтожение (стирание) информации на машинных носителях организовывается Администратором в случаях:

· возвращения учтенного съемного носителя информации Администратору;

· при вводе в эксплуатацию нового машинного носителя или технического средства со встроенными носителями информации;

· при передаче носителя информации в сторонние организации (в том числе и для проведения ремонта технического средства);

· при утилизации технических средств.

4.13. Уничтожение (стирание) информации на машинных носителях должно исключать возможность восстановления защищаемой информации. Контроль невозможности восстановления уничтоженной информации производится Администратором с помощью специализированных утилит по восстановлению информации.

4.14. {Убрать пункт, если не используются съемные носители} При возвращении учтенного съемного носителя информации Пользователем, а также при вводе в эксплуатацию нового машинного носителя, информация уничтожается путем использования механизма СЗИ от НСД затирания файлов случайной битовой последовательностью.

4.15. При передаче носителя информации в сторонние организации (не с целью передачи на нем информации), в том числе и для ремонта носителя или технического средства, информация уничтожается путем полной многократной перезаписи машинного носителя информации специальными битовыми последовательностями, зависящими от типа накопителя и используемого метода кодирования информации. Затем производится очистка всего физического пространства накопителя, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя.

4.16. При утилизации технических средств, а также при возникновении необходимости уничтожения информации на неперезаписываемых машинных носителях (например, CD-R), физически уничтожается сам машинный носитель.

4.17. В случае физического уничтожения машинного носителя информации, составляется акт уничтожения. Акт уничтожения машинных носителей подписывается назначенной приказом главного врача комиссией по уничтожению персональных данных и составляется по утвержденной форме акта уничтожения персональных данных.

5. ПРАВИЛА И ПРОЦЕДУРЫ ОБЕСПЕЧЕНИЯ ДОВЕРЕННОЙ ЗАГРУЗКИ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

5.1. При расширении/масштабировании системы рабочими станциями в виде персональных компьютеров, для работы с ресурсами {Наименование МО} должны выбираться такие технические средства, базовая система ввода-вывода которых (BIOS/UEFI) позволяет отключить возможность выбора источника загрузки в обход настроек BIOS/UEFI (вызов вариантов источников загрузки одной из функциональных клавиш).

5.2. При расширении/масштабировании системы рабочими станциями в виде терминальных решений, для работы с ресурсами {Наименование МО} должны выбираться бездисковые рабочие станции, при использовании которых информация текущей сессии хранится в оперативной памяти или на защищенном съемном машинном носителе информации, либо устройства, поддерживающие технологию виртуального рабочего стола.

5.3. В проектной документации на систему защиты информации в {Наименование МО} обосновано применение компенсирующих мер, нейтрализующих угрозы безопасности информации, связанные с доверенной загрузкой технических средств {Наименование МО}.

5.4. В качестве компенсирующей меры в {Наименование МО} применяется опечатывание USB-портов, входов для SD/Micro-SD и других карт памяти, CD/DVD/Blu-Ray-приводов и самих технических средств. Данная мера обеспечивает контроль доступа злоумышленника к интерфейсам ввода-вывода, позволяющим осуществить доверенную загрузку.

5.5. В качестве компенсирующей меры в {Наименование МО} применяется установка пароля администратора на вход в BIOS/UEFI и отключение возможности вызова источника загрузки во время загрузки технического средства. Данная мера позволяет блокировать на программном уровне изменение источника загрузки при срыве пломбы с интерфейса ввода-вывода.

5.6. В качестве компенсирующей меры в {Наименование МО} применяется усиленный визуальный контроль за техническими средствами {Наименование МО}. Данная мера позволяет своевременно детектировать факты нарушения пломб технического средства, выявлять факты несанкционированного доступа и принимать меры реагирования.

5.7. Администратор контролирует выполнение компенсирующих мер. По результатам проверки делается запись в журнал периодического тестирования средств защиты информации.

6. ПРАВИЛА И ПРОЦЕДУРЫ ВЫЯВЛЕНИЯ, АНАЛИЗА И УСТРАНЕНИЯ УЯЗВИМОСТЕЙ

6.1. В {Наименование МО} выявление уязвимостей осуществляется Администратором.

6.2. Администратор изучает отчеты по результатам сканирования и принимает решение о немедленном устранении выявленных уязвимостей, либо о включении мероприятий по устранению выявленных уязвимостей в план мероприятий по защите информации, в случае если выявленные уязвимости не являются критичными, или если есть возможность сделать невозможным их эксплуатацию потенциальным злоумышленником (например, путем отключения отдельных АРМ и/или сегментов сети от Интернет). При необходимости, для адекватного реагирования на вновь выявленные угрозы может созываться ГРИИБ.

6.3. Критичность уязвимостей может быть установлена как на основании рейтинга уязвимости по шкале CVSS, так и на основании оценки рисков информационной безопасности в соответствии с ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».

6.4. При выявлении уязвимостей, Администратор анализирует системные журналы и журналы средств защиты информации, на предмет выявления эксплуатации выявленной уязвимости в информационной системе и последствий такой эксплуатации.

6.5. В случае невозможности оперативного устранения критичной уязвимости, Администратор уведомляет об этом руководителя {Наименование МО}.

7. ПРАВИЛА И ПРОЦЕДУРЫ КОНТРОЛЯ УСТАНОВКИ ОБНОВЛЕНИЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

7.1. С целью противодействия эксплуатации известных уязвимостей, в {Наименование МО} устанавливаются правила и процедуры контроля установки обновлений системного и прикладного ПО.

7.2. В {Наименование МО} обновления прикладного, системного программного обеспечения и средств защиты информации осуществляется Администратором.

7.3. Обновление микропрошивок и программного обеспечения BIOS/UEFI производится только при поступлении информации о критичных уязвимостях в таком ПО, применяемом в {Наименование МО}.

8. ПРАВИЛА И ПРОЦЕДУРЫ КОНТРОЛЯ СОСТАВА ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

8.1. Состав технических средств (далее – ТС), ПО и средств защиты информации (далее – СрЗИ) {Наименование МО} фиксируется в техническом паспорте на информационную систему. Технический паспорт является эталоном состава ТС, ПО и СрЗИ, по которому осуществляется периодический контроль.

8.2. В случае добавления новых ТС, ПО и СрЗИ в состав информационных систем {Наименование МО} или удаления существующих компонентов, на основании акта ввода в эксплуатацию (или акта вывода из эксплуатации) максимально оперативно вносятся изменения в Технический паспорт.

8.3. Контроль состава ТС, ПО и СрЗИ осуществляется Администратором безопасности путем визуального контроля.

8.4. Выявление несоответствия состава ТС, ПО и СрЗИ техническому паспорту информационной {Наименование МО} является инцидентом безопасности. В случае выявления фактов несоответствия Администратор устанавливает причины самостоятельно или созывает ГРИИБ.

8.5. В случае выявления несоответствия состава ТС, ПО и СрЗИ, Администратор принимает меры по оперативному исключению (восстановлению) из состава (в составе) информационной системы несанкционированно установленных (удаленных) технических средств, программного обеспечения и средств защиты информации.

8.6. Администратор осуществляет контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принимает меры, направленные на устранение выявленных недостатков. В случае если сертификат соответствия истек, но был продлен производителем СрЗИ, Администратор запрашивает актуальную заверенную копию сертификата. В случае, если сертификат соответствия истек, но не был продлен производителем СрЗИ, то Администратор сообщает об этом главному врачу {Наименование МО}, который принимает решение об организации самостоятельной сертификации использующегося СрЗИ, либо об обновлении использующегося СрЗИ до актуальной версии, либо о замене использующегося СрЗИ на другое аналогичное сертифицированное СрЗИ.

9. ПРАВИЛА И ПРОЦЕДУРЫ КОНТРОЛЯ ЦЕЛОСТНОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

9.1. Администратор в СЗИ от НСД настраивает контроль целостности (осуществляет расчет эталонных контрольных сумм) файлов и директорий прикладного программного обеспечения, операционных систем и средств защиты информации.

9.2. На АРМ, которые являются персональными компьютерами, в {Наименование МО} контролю целостности подлежат системные файлы операционной системы и файлы установленных средств защиты.

9.3. Нарушение целостности программного обеспечения является инцидентом информационной безопасности. В случае выявления таких инцидентов, Администратор принимает меры по их устранению самостоятельно или в составе ГРИИБ.

9.4. В {Наименование МО} запрещено использование средств разработки и отладки программ, за исключением Пользователей, которым данное ПО необходимо для исполнения их функциональных обязанностях.

10. ПРАВИЛА И ПРОЦЕДУРЫ РЕЗЕРВИРОВАНИЯ ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, БАЗ ДАННЫХ, СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ И ИХ ВОССТАНОВЛЕНИЯ ПРИ ВОЗНИКНОВЕНИИ НЕШТАТНЫХ СИТУАЦИЙ

10.1. Резервирование информационных ресурсов (программного обеспечения, баз данных, средств защиты информации) {Наименование МО} осуществляется в соответствии с инструкцией администратора безопасности информации и в соответствии с Приложением № 5 к настоящей Политике.

10.2. Администратор осуществляет с периодичностью, установленной в плане обеспечения непрерывности функционирования сегмента РЕГИСЗ ПК проверку работоспособности средств резервного копирования, средств хранения резервных копий и средств восстановления информации из резервных копий. По результатам проверки делается запись в журнале учета мероприятий по контролю за соблюдением режима защиты информации. В случае выявления проблем с системой резервирования, принимаются меры по восстановлению ее работоспособности. После восстановления работоспособности системы резервирования осуществляется внеплановое резервное копирование всех информационных ресурсов сегмента РЕГИСЗ ПК.

10.3. Восстановление из резервных копий является основным методом восстановления работоспособности информационной системы после ликвидации нештатных ситуаций.

10.4. Нештатными ситуациями являются:

· разглашение информации ограниченного доступа сотрудниками {Наименование МО}, имеющими к ней право доступа, в том числе:

o разглашение информации лицам, не имеющим права доступа к защищаемой информации;

o передача информации по незащищенным каналам связи;

o обработка информации на незащищенных технических средствах обработки информации;

o опубликование информации в открытой печати и других средствах массовой информации;

o передача носителя информации лицу, не имеющему права доступа к ней;

o утрата носителя с информацией.

· неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации:

o несанкционированное изменение информации;

o несанкционированное копирование информации;

· несанкционированный доступ к защищаемой информации:

o несанкционированное подключение технических средств к средствам и системам {Наименование МО};

o использование закладочных устройств;

o использование злоумышленником легальных учетных записей пользователей для доступа к информационным ресурсам сегмента;

o использование злоумышленником уязвимостей программного обеспечения {Наименование МО};

o использование злоумышленником программных закладок;

o заражение технических средств {Наименование МО} злоумышленником программными вирусами;

o хищение носителей информации;

o нарушение функционирования технических средств обработки информации;

o блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку;

· дефекты, сбои, отказы, аварии технических средств и систем {Наименование МО};

· дефекты, сбои, отказы программного обеспечения {Наименование МО};

· сбои, отказы и аварии систем обеспечения {Наименование МО};

· природные явления, стихийные бедствия:

o термические, климатические факторы (аномально низкие или аномально высокие температуры воздуха, пожары, наводнения, снегопады и т. д.);

o механические факторы (повреждения зданий, землетрясения и т.д.);

o электромагнитные факторы (отключение электропитания, скачки напряжения, удары молний и т. д.).

10.5. В случае возникновения нештатной ситуации, порядок действий при которой не регламентирован настоящей Политикой, Администратором, Ответственным и ГРИИБ вырабатывается конкретный план действий с учетом текущей ситуации.

10.6. Порядок оповещения должностных лиц и сроки выполнения мероприятий при нештатных ситуациях определены в Приложении № 6 настоящей Политики.

10.7. С целью усовершенствования координации действий должностных лиц по реагированию на нештатные ситуации должны проводиться регулярные тренировки по различным видам нештатных ситуаций. В случае выявления по результатам тренировок изъянов в положениях настоящей Политики, касающихся реагирования на нештатные ситуации, в нее могут вноситься изменения.

10.8. Инциденты безопасности информации также являются нештатной ситуацией. При выявлении нештатных ситуаций, повлекших нарушение целостности, доступности или конфиденциальности защищаемой информации по вине внутреннего или внешнего нарушителя, созывается ГРИИБ, которая действует в соответствии с инструкцией по реагированию на инциденты информационной безопасности.

10.9. В случае сбоев, отказов и аварий систем электроснабжения, вентиляции, других обеспечивающих инженерных систем предпринимаются следующие действия:

· корректное отключение технических средств {Наименование МО} до истощения ресурса источников бесперебойного питания, перегрева технических средств и до наступления других негативных последствий;

· предпринимаются меры по устранению причин, вызвавших сбои, отказы и аварии средств и систем {Наименование МО}, а также меры по замене/ремонту вышедших из строя средств и систем;

· в случае потери/утраты защищаемых данных или нарушения целостности программного обеспечения, баз данных, средств защиты информации, Администратор восстанавливает их из резервных копий.

10.10. В случае нештатных ситуаций, связанных со стихийными бедствиями и деструктивными природными явлениями выполняются следующие действия:

· Пользователи корректно отключают и обесточивают свои рабочие места;

· системные администраторы корректно отключают и обесточивают серверы и сетевое оборудование;

· Администратор предпринимает меры к эвакуации носителей информации и носителей резервных копий;

· в случае нарушения корректной работы технических средств в {Наименование МО} в результате стихийных бедствий или природных явлений принимаются меры по ремонту/замене вышедшего из строя оборудования;

· в случае потери/утраты защищаемых данных или нарушения целостности программного обеспечения, баз данных, средств защиты информации в результате стихийных бедствий или природных явлений, Администратор восстанавливает их из резервных копий;

· в случае стихийных действий/природных явлений, опасных для жизни человека в первую очередь организуется эвакуация сотрудников и только по возможности организуется эвакуация технических средств, носителей информации и носителей с резервными копиями.

11. ПРАВИЛА И ПРОЦЕДУРЫ КОНТРОЛЯ ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ МОБИЛЬНОГО КОДА

11.1. В {Наименование МО} разрешено использование следующих технологий мобильного кода: PDF, JavaScript. Использование иных технологий мобильного кода, в частности макросов Microsoft Office, в {Наименование МО} запрещено.

11.2. Администратор устанавливает доступ к использованию разрешенных технологий мобильного кода только тем сотрудникам, которым это необходимо для выполнения их служебных (должностных) обязанностей.

11.3. Регистрация событий, связанных с несанкционированным использованием технологий мобильного кода осуществляется антивирусным средством и средством защиты от несанкционированного доступа.

11.4. В случае регистрации инцидентов информационной безопасности, связанных с использованием технологий мобильного кода созывается ГРИИБ, которая действует в соответствии с инструкцией по реагированию на инциденты информационной безопасности.

Приложение № 1 к Политике информационной

безопасности в {Наименование МО},

утвержденной приказом

от «___» __________20__г. № ___

Положение о разграничении прав доступа в {Наименование МО}

Исходя из характера и режима обработки защищаемой информации в {Наименование МО} определяется следующий перечень групп Пользователей, служб и процессов, участвующих в обработке защищаемой информации. Перечень ролей и описание параметров доступа к ресурсам {Наименование МО} приведен в таблице. {Добавить и описать роли по мере их добавления. Примеры ролей – Администратор, Регистратор, Статистик и т. д.}

Роль	Описание параметров доступа к ресурсам {Наименование МО} для данной роли

Приложение № 2 к Политике информационной

безопасности в {Наименование МО},

утвержденной приказом

от «___» __________20__г. № ___

Перечень лиц, должностей, служб и процессов, допущенных к работе с ресурсами {Наименование МО}

Настоящий Перечень устанавливает перечень лиц, должностей и процессов, допущенных к работе с ресурсами {Наименование МО}. Для каждого элемента списка в таблице обязательно указываются ФИО (Имя службы или процесса для неодушевленных субъектов доступа), должность (только для одушевленных субъектов доступа), имя присвоенной учетной записи и роль (в соответствии с Положением о разграничении прав доступа в {Наименование МО}). Тип и серийный номер выданного идентификатора указываются только при выдаче пользователю электронного ключа. Роспись о получении электронного ключа ставится только при выдаче пользователю такого ключа.

В настоящем Перечне не отражены вопросы, связанные с использованием средств криптографической защиты информации (СКЗИ). Перечни пользователей СКЗИ, а также иные учетный данные, связанные с СКЗИ приведены в других журналах и перечнях.

{В таблице приведен пример! Заполнить таблицу в соответствии с реальным перечнем допущенных лиц в МО}

№ п/п

ФИО сотрудника / Имя службы или процесса

Должность

Имя присвоенной учетной записи

Роль

Выдан эл. ключ

Роспись о получении эл. ключа

Иванов Иван

12 Следующая ⇒