Нет ничего плохого в том, когда человек владеет богатством. Но плохо, если богатство завладевает человеком. © Билли Грэм 1091 - | 801 - или читать все...
Обратная связь Пожаловаться на материал

Базовая политика безопасности


⇐ ПредыдущаяСтр 5 из 5

На основе особенностей устройства сети, программно-аппаратного обеспечения, средств защиты и теоретических данных, сформирована общая политика безопасности для администраторов и пользователей сети.

Политика безопасности регламентирует:

порядок доступа к конфиденциальной информации (персональные данные);

работа с криптографическими системами;

физическая безопасность (доступ в помещения);

разграничение прав доступа;

работа в глобальной сети Интернет;

дублирование, резервирование и раздельное хранение конфиденциальной информации.

Порядок доступа к конфиденциальной информации

В целях обеспечения защиты информации в медицинском учреждении, устанавливается следующий порядок допуска к работе с конфиденциальными источниками:

Решение о доступе работника к определенному разделу конфиденциальной информации принимается руководством ЛПУ.

Ответственные лица, из числа штатных программистов, обеспечивают защиту отдельных файлов и программ от чтения, удаления, копирования лицами, не допущенными к этому.

Доступ к компьютерной сети ЛПУ осуществляется только с персональным паролем. Пользователь должен держать в тайне свой пароль. Сообщать свой пароль другим лицам, а также пользоваться чужими паролями запрещается. Имя пользователя и пароль на вход в БД с ПДн должны быть отличны от имени пользователя и пароля в общую компьютерную сеть ЛПУ.

Категорически запрещается снимать несанкционированные копии с носителей банковской информации, знакомить с содержанием электронной информации лиц, не допущенных к этому.

Работа с криптографическими системами.

К работе с криптографическими системами допускаются только сотрудники Банка, имеющие соответствующее разрешение от руководства Банка.

Секретные ключи электронно-цифровых подписей и шифрования должны храниться в сейфах под ответственностью лиц на то уполномоченных. Доступ неуполномоченных лиц к носителям секретных ключей и шифрования должен быть исключен.

Категорически запрещается:

выводить секретные ключи и шифрования на дисплей компьютера или принтер;

устанавливать в дисковод компьютера носитель секретных ключей и шифрования в непредусмотренных режимах функционирования;

записывать на носитель секретных ключей и шифрования постороннюю информацию.

При компрометации секретных ключей, шифрования и прочей электронной информации ответственными лицами принимаются меры для прекращения любых операций с использованием этих ключей и прочей информации; принимаются меры для смены ключей и шифрования, паролей. По факту компрометации организуется служебное расследование, результаты которого отражаются в акте и доводятся до сведения руководства ЛПУ.

Физическая безопасность.

Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных, телефонная станция, основной маршрутизатор, файервол) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение от руководства ЛПУ.

Вход в помещение осуществляется через металлическую дверь, оснащенную замками (не менее двух).

Помещение оборудовано принудительной вентиляцией и пожарной сигнализацией. Вход в помещение контролируется системой видео наблюдения с выходом на мониторы охраны.

Ключевые дискеты, пароли и прочая конфиденциальная информация хранится в сейфах.

Доступ в помещение посторонним лицам запрещен. Технический персонал, осуществляющий уборку помещения, ремонт оборудования, обслуживание кондиционера и т.п. может находится в помещении только в присутствии работников, имеющих право находится в помещении в связи с выполнением своих должностных обязанностей.

Доступ в помещение в неурочное время или в выходные и праздничные дни осуществляется с письменного разрешения главного врача ЛПУ или его заместителей.

Разграничение прав доступа к программному обеспечению и системам хранения данных.

Для входа в компьютерную сеть ЛПУ сотрудник должен ввести имя и пароль. Не допускается режимы безпарольного (гостевого) доступа к какой-либо информации.

В целях защиты конфиденциальной информации Банка организационно и технически разделяются подразделения ЛПУ, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности, секретности и смысловой направленности). Данная задача решается с использованием сетевой операционной системы, где в целях обеспечения защиты данных доступ и права пользователей ограничивается персональными каталогами. Права назначаются в соответствии с производственной необходимостью, определяемой начальником подразделения.

Параметры входа в сеть, имя и пароль, пользователем не разглашаются. Копии на бумажном носителе держатся в недоступном для посторонних месте. В случае компрометации пароля пользователь должен незамедлительно обратиться в программистам с заявкой о замене.

При работе с БД ПДн имя пользователя и пароль должны быть отличны от имени пользователя и пароля в при входе общую компьютерную сеть ЛПУ. Пароль должен быть не менее пяти символов. Категорически запрещается сообщать свой пароль другим лицам, а также пользоваться чужими паролями. Все действия пользователя, работающего с БД ПДн протоколируются. Журнал операций храниться не менее шести месяцев.

Работа в глобальной сети Интернет

К работе с ресурсами сетью Интернет и электронной почтой допускаются сотрудники, получившие соответствующее разрешение от руководства ЛПУ (достаточна устная форма).

При работе с сетью Интернет сотрудникам запрещено:

Скачивать и устанавливать на компьютер программное обеспечение;

Посещать ресурсы, не имеющие непосредственного отношения к работе и служебным обязанностям;

Осуществлять подписку на рассылку информации непроизводственного характера;

Сообщать адрес электронной почты в непроизводственных целях;

Пользоваться различными Интернет-пейджерами;

Использовать Интернет для получения материальной выгоды или непроизводственных целях, в том числе осуществляя торговлю через Интернет;

Дублирование, резервирование и раздельное хранение конфиденциальной информации.

В целях защиты конфиденциальной информации от преднамеренного или же непреднамеренного ее уничтожения, фальсификации или разглашения обеспечить

ежедневное обязательное резервирование всей информации, имеющей конфиденциальный характер;

дублирование информации с использованием различных физических и аппаратных носителей.

Ответственность за хранение и резервирование информации в электронном виде возложить на штатных прогаммистов.

Таким образом, в данной главе были рассмотрены меры по созданию защищенной ЛВС медицинского учреждения, были предложены программные и аппаратные средства защиты. Также была предложена базовая политика безопасности для защиты от НСД к важным ресурсам.

 

Дата добавления: 2018-02-18; просмотров: 489; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая12345


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.016)