Для підприємства її інформація є важливим ресурсом. Політика інформаційної безпеки визначає необхідні заходи для захисту інформації від випадкового або навмисного отримання її, знищення і тд. Відповідальність за дотримання політики безпеки несе кожен працівник підприємства. Цілями політики безпеки є:

• Реалізація безперервного доступу до ресурсів компанії для нормального виконання співробітниками своїх обов'язків
• Забезпечення критичних інформаційних ресурсів
• Захист цілісності даних
• Призначення ступеня відповідальності і функцій працівників по реалізації інформаційної безпеки на підприємстві
• Роботи по ознайомленню користувачів в сфері ризиків, які пов'язані з інф. ресурсами підприємства

Повинна проводиться періодична перевірка співробітників, на предмет дотримання інформаційної політики безпеки. Правила політики поширюються на всі ресурси і інформацію підприємства. Підприємству належить права на власність обчислювальних ресурсів, ділової інформації, ліцензійне і створене ПО, вміст пошти, різного роду документи.

Відносно всіх інформаційних активів підприємства, повинні бути відповідні люди з відповідальністю за використання тих або інших активів.

Контроль доступу до інформаційних систем

Всі свої обов'язки повинні бути виконані тільки на комп'ютерах, дозволених до експлуатації на підприємстві. Використання своїх портативних пристроїв і запам'ятовуючих пристроїв можна тільки з узгодженням. Вся конфіденційна інформація повинна зберігатися в зашифрованому вигляді на жорстких дисках, де реалізовано ПО з шифруванням жорсткого диска. Періодично повинні переглядатися права співробітників до інформаційної системи. Для реалізації санкціонованого доступу до інформаційного ресурсу, вхід в систему повинен бути реалізований за допомогою унікального імені користувачі і пароля. Паролі повинні задовольняти. Також під час перерви, або відсутності співробітника на своєму робочому місці, повинна спрацьовувати функція заставки, для блокування робочої машини.

Доступ третіх осіб до інформаційної системи підприємства

Кожен працівник повинен сповістити службу ІБ про те, що він надає доступ третім особам до ресурсів інформаційної мережі.

Віддалений доступ

Співробітники, які використовують особисті портативні пристрої, можуть попросити про віддалений доступ до інформаційної мережі підприємства. Співробітникам, які працюють за межами підприємства і мають віддалений доступ, заборонено копіювати дані з корпоративної мережі. Також таким співробітникам не можна мати більше одного підключення до різних мереж, які не належать підприємству. Комп'ютери має віддалений доступ повинні містити.

Доступ в мережу інтернет

Такий доступ повинен вирішуватися тільки у виробничих цілях, а не для особистого користування. Далі показані рекомендації:

• Забороняється відвідування веб-ресурсу, який вважається образливим для суспільства або має дані сексуального характеру, пропаганди і тд
• Працівники не повинні використовувати інтернет для зберігання даних підприємства
• Співробітники, які мають облікові записи надані публічними провайдерами, заборонено використовувати на обладнанні підприємства
• Всі файли з інтернету повинні перевірятися на віруси
• Заборонено доступ в інтернет для всіх осіб, які не є співробітниками

захист обладнання

Працівники також повинні пам'ятати про реалізацію фізичного захисту обладнання, на якому зберігається або обробляються дані підприємства. Заборонено вручну налаштовувати апаратне і програмне забезпечення, для цього є фахівці служби ІБ.

Апаратне забезпечення

Користувачі, які працюють з конфіденційною інформацією, повинні мати окреме приміщення, для фізичного обмеження доступу до них і їх робочого місця.

Кожен співробітник, отримавши обладнання від підприємства на тимчасове користування (відрядження), повинен дивитися за ним, і не залишати без нагляду. У випадки втрати або інших екстрених ситуацій, дані на комп'ютері повинні бути заздалегідь зашифровані.

Форматування даних перед записом, або знищенням носія не є 100% гарантією чистоти пристрою. Також порти передачі даних на стаціонарних комп'ютерах повинні бути заблоковані, крім тих випадків коли у співробітника є дозвіл на копіювання даних.

Програмне забезпечення

Все програмне забезпечення, яке встановлене на комп'ютерах підприємства є власністю підприємства і має використовувати в службових завданнях. Заборонено встановлювати співробітникам особисто інше програмне забезпечення, не погодивши це з службою ІБ. На всіх стаціонарних комп'ютерах має бути мінімальний набір ПО:

• антивірусне ПЗ
• ПО шифрування жорстких дисків
• ПО шифрування поштових повідомлень

Працівники компанії не повинні:

• блокувати або встановлювати інше антивірусне ПЗ
• змінювати налаштування захисту

Електронні повідомлення (навіть віддалені) можуть використовуватися держ. органами або конкурентами по бізнесу в суді в якості доказів. Тому зміст повідомлень має строго відповідати корпоративним стандартам в галузі ділової етики.

Працівникам не можна передавати за допомогою пошти конфіденційну інформацію підприємства без реалізація шифрування. Також працівникам не можна використовувати публічні поштові скриньки. При документообіг повинні використовуватися тільки корпоративні поштові скриньки. Нижче описані нерозв'язні дії при реалізації електронної пошти:

• групова розсилка всім користувачам підприємства
• розсилка повідомлень особистого характеру, використовуючи ресурси електронної пошти підприємства
• підписка на розсилки ящик підприємства
• пересилання матеріалів які не стосуються роботи

Повідомлення про інциденти, реагування та звітність

Всі співробітники повинні сповіщати про будь-якій підозрі на уразливості в системі захисту. Також не можна розголошувати відомі співробітнику слабкі сторони системи захисту. Якщо є підозри на наявність вірусів або інших деструктивних діях на комп'ютері, працівник повинен:

• проінформувати співробітників служби ІБ
• не включати заражений комп'ютер і не використовувати його
• Чи не приєднувати комп'ютер до інформаційної мережі підприємства

Приміщення з технічними методами захисту

Всі конфіденційні зборів / засідання повинні проводитися тільки в спеціальних приміщеннях. Учасникам заборонено проносити в приміщення записуючі пристрої (Аудіо / відео) та мобільними телефонами, без згоди служби ІБ. Аудіо / відео запис може вести співробітник, з дозволом від служби ІБ.

Політика інформаційної безпеки підприємства

Успіхом забезпечення збереження і захисту інформації на підприємстві залежить, перш за все, від розроблених політик безпеки на підприємстві. Політика інформаційної безпеки організації сукупність керівних принципів, правил, процедур і практичних прийомів в області безпеки, які регулюють управління, захист і розподіл цінної інформації.

Розглянемо адміністративний рівень інформаційної безпеки підприємства, тобто заходи, що вживаються керівництвом організації. В основі всіх заходів адміністративного рівня лежить документ, який часто називають політикою інформаційної безпеки підприємства. Під політикою інформаційної безпеки розуміється сукупність документованих управлінських рішень і розроблених превентивних заходів, спрямованих на захист інформаційних ресурсів.

Розробка політики інформаційної безпеки - питання аж ніяк не тривіальний. Від ретельності її опрацювання буде залежати дієвість всіх інших рівнів забезпечення інформаційної безпеки - процедурного і програмно-технічного. Складність розробки даного документа визначається проблематичністю використання чужого досвіду, оскільки політика безпеки грунтується на виробничих ресурсах і функціональних залежностях даного підприємства. Крім того, Росія як держава не має подібного типового документа. Найбільш близьким по ідеї можна назвати "Доктрину інформаційної безпеки РФ", проте, на мій погляд, вона носить занадто загальний характер.

У зв'язку з цим для розробки політики інформаційної безпеки доцільно використовувати закордонний досвід. Найбільш детально цей аспект опрацьований в "Загальних критерії оцінки безпеки інформаційних технологій", версія 2.0 від 22 травня 1998 р Британського стандарту BS7799: 1995. У ньому рекомендується включати в документ, що характеризує політику інформаційної безпеки організації, такі пункти:

Вступний, що підтверджує зацікавленість вищого керівництва проблемами інформаційної безпеки;

Організаційний, що містить опис підрозділів, комісій, груп і т.д., що відповідають за роботи в області інформаційної безпеки;

класифікаційний, що описує наявні на підприємстві матеріальні та інформаційні ресурси і необхідний рівень їх захисту;

Штатний, що характеризує заходи безпеки, які застосовуються до персоналу (опис посад з точки зору інформаційної безпеки, організація навчання, порядок реагування на порушення режиму і т.д.);

Розділ, що висвітлює питання фізичного захисту інформації;

Розділ управління, що описує підхід до управління комп'ютерами та мережами передачі даних;

Розділ, що описує правила розмежування доступу до виробничої інформації;

Розділ, що описує порядок розробки і впровадження систем;

Розділ, що описує заходи, спрямовані на забезпечення безперервної роботи організації (доступності інформації);

юридичний розділ, який підтверджує відповідність політики інформаційної безпеки чинному законодавству. Рекомендація в якості основи для побудови політики інформаційної безпеки зарубіжних документів може викликати подив. Однак, як видно з рекомендацій стандарту BS 7799: 1995, вони носять загальний характер і однаково застосовні для підприємств в будь-якій точці земної кулі. Так само як правила побудови будинку однакові для всіх будинків в світі і лише коригуються чинним законодавством, будівельними правилами і нормами і подібними документами. До того ж останній розділ рекомендацій містить підтвердження відповідності політики безпеки чинному законодавству країни, на основі якого вона і повинна базуватися.

Почати складання політики слід з аналізу ризиків. Аналіз ризиків складається з двох основних етапів: інвентаризація і класифікація інформаційних ресурсів. Інвентаризація інформаційних ресурсів допоможе у визначенні ступеня необхідного захисту, контролі захищеності, а також буде корисна в інших областях, як-то охорона праці і техніка безпеки, страхування, фінанси. Як ресурси, пов'язаних з інформаційних технологій, можуть виступати:

інформаційні ресурси: файлові сховища, бази даних, документація, навчальні посібники, документи процедурного рівня (інструкції і т.д.);

Програмні ресурси: прикладне і системне програмне забезпечення, утиліти і т.д .;

Фізичні ресурси: обчислювальний і комунікаційне обладнання, носії даних (стрічки і диски), інше технічне обладнання (блоки живлення, кондиціонери), меблі, приміщення;

Сервіси: опалення, освітлення, енергопостачання, кондиціонування повітря;

Людські ресурси.

Після інвентаризації проводиться класифікація ресурсів. Цінність кожного ресурсу зазвичай представляється як функція декількох дискретних змінних.

Наведемо приклад класифікації інформаційного ресурсу. В якості основної змінної зазвичай вибирають ступінь конфіденційності інформації з наступними значеннями:

Інформація, яка містить державну таємницю;

Інформація, яка містить комерційну таємницю;

Конфіденційна інформація (інформація, що не представляє собою комерційної або державної таємниці, хоча розголос її небажана);

Вільна інформація.

Наступною змінної може бути вибрано відношення того чи іншого ресурсу до порушень основних трьох аспектів інформаційної безпеки. Наприклад, база даних телефонів працівників підприємства може бути оцінена на 8 з точки зору доступності, на 2 з точки зору конфіденційності та на 4 з точки зору цілісності.

застосовності до даного ресурсу, ймовірності виникнення і можливого збитку. На основі результатів цього аналізу складається класифікаційний розділ політики інформаційної безпеки.

У штатний розділ спрямований на зменшення ризику помилок персоналу, крадіжок, шахрайства або незаконного використання ресурсів. Надалі цей розділ використовується для складання посадових інструкцій користувачів і керівних документів для відділів і служб інформаційної безпеки. У документ бажано включити такі розділи:

Правила перевірки приймається на роботу персоналу;

Обов'язки і права користувачів стосовно інформаційних ресурсів;

Навчання користувачів і порядок допуску до робіт з інформаційними ресурсами;

Права і обов'язки адміністраторів;

Порядок реагування на події, що несуть загрозу інформаційній безпеці;

Порядок накладення стягнень.

У перший пункт включаються правила подачі заяв про прийом, необхідні документи, форму резюме, рекомендацій і т.д. Крім того, визначаються необхідність, форма і порядок проведення співбесіди з працівниками різних категорій. Тут же описуються різні зобов'язання про нерозголошення.

У другому пункті описуються обов'язки користувачів з обслуговування свого робочого місця, а також при роботі з інформаційним ресурсами. Цей пункт тісно пов'язаний з третім пунктом, оскільки визначає необхідні знання користувачів.

Третій пункт визначає необхідні знання для різних категорій працівників, періодичність і порядок проведення інструктажу з користування інформаційними ресурсами. Необхідне чітке знання

користувачами всіх процедурних питань (ідентифікація в системі, зміна пароля, оновлення антивірусних баз, робота з пакетами програм і т.д.). Крім того, описується порядок підключення користувача до інформаційних ресурсів (необхідні документи, що погоджують особи і підрозділи).

Для нормального функціонування системи адміністратори інформаційної безпеки повинні володіти достатніми правами. Відключення від мережі або інформаційного ресурсу робочої станції, яка є носієм вірусу, - необхідність, а не порушення технологічного процесу.

Для своєчасної реакції на загрози безпеці системи слід чітко визначити формальні процедури повідомлення та реагування на подібні системи. Всі користувачі зобов'язані повідомити закріпленим особам про інциденти та слабкі місця в системі безпеки, збої в роботі програмного і апаратного забезпечення. Необхідно визначити і довести до відома користувачів методи фіксації симптомів збоїв обладнання.

Останній розділ містить опис процедури накладення стягнень за порушення встановлених на підприємстві правил інформаційної безпеки. Каральні заходи і ступінь відповідальності необхідно закріпити документально.

Залежно від типу підприємства заходи фізичного захисту можуть варіюватися в широкому діапазоні. Виходячи з аналізу ризиків для кожного підприємства, необхідно жорстко описати типи приміщень і необхідні для них заходи безпеки. До заходів безпеки відносяться установка решіток, замків, порядок допуску в приміщення, засоби електромагнітного захисту і т.д. Крім того, необхідно встановити правила використання робочого стола і способи утилізації матеріалів (різних магнітних носіїв, паперових документів, агрегатів), правила виносу програмного і апаратного забезпечення за межі організації.

Розділи управління, що описують підходи до управління комп'ютерами та мережами передачі даних і порядок розробки і впровадження систем, описують порядок виконання стандартних операційних процедур оперування даними, правила введення систем в експлуатацію (приймання систем), аудиту їх роботи. Крім того, в даному розділі вказується порядок захисту підприємства від шкідливого програмного забезпечення (регламент роботи антивірусної системи зокрема). Визначаються порядок аудиту працездатності систем і резервне копіювання. Описуються стандартне програмне забезпечення, дозволене до роботи на підприємстві. Тут же описуються системи захисту електронної пошти, системи електронного цифрового підпису та інші криптографічні системи і системи аутентифікації, що працюють на підприємстві. Це важливо, оскільки російське законодавство в області жорстко в цьому відношенні.

Права доступу до систем повинні бути задокументовані, а порядок їх надання визначено нормативними документами. Повинні бути вказані посади, що виробляють узгодження заявок на надання прав доступу, а також здійснюють роздачу прав. Крім того, в організаціях з серйозними вимогами до інформаційної безпеки визначається порядок перевірок прав доступу до систем і особи, його здійснюють. У цьому ж розділі описуються правила (політика) призначених для користувача паролів.

Отже, політика інформаційної безпеки підприємства являє собою документ, на основі якого будується система забезпечення безпеки. У свою чергу, політика будується на аналізі ризиків, і чим повніше буде проведений аналіз, тим ефективніше буде документ. Аналізу піддаються всі основні ресурси, включаючи матеріальну базу і людські ресурси. Політика безпеки будується відповідно до специфіки підприємства і законодавчою базою держави.

Основним складом комплексу по захисту інформації є

1. Захист від вторгнень.

Програмні та апаратно-програмні міжмережеві екрани, які представляють собою програмні засоби, або програмно-апаратні пристрої, призначені для контролю і розмежування міжмережевоговзаємодії.

2. Захист від шкідливих програм.

Програмні засоби виявлення і знищення, любо ізоляції, різних видів і носіїв шкідливого коду. Фільтрація поштових повідомлень і WEB-контенту Фільтрація здійснюється за допомогою програмних продуктів, які контролюють вихідні і вхідні (по каналах WEB і електронної пошти) інформаційні потоки.

3.Резервное копіювання
  програмно-апаратні засоби перенесення найціннішою з циркулюючої в інформаційній системі інформації на альтернативні носії з метою тривалого зберігання і з можливістю відновлення цієї інформації в разі потреби.

4. Контроль активності

Програмно-апаратні системи дозволяють здійснювати контроль і моніторинг переміщень і діяльності суб'єктів, що перебувають в рамках контрольованого периметра.

5.Средства посиленою аутентифікації

Використовуються для підвищення стійкості стандартної процедури аутентифікації за рахунок застосування додаткових апаратних пристроїв. Такі засоби підвищують рівень довіри і дають додаткові зручності в порівнянні з системами, що використовують стандартний набір засобів

26. Процедура реєстрації (створення ідентифікатора і облікового запису) суб'єкта і надання йому (або зміни його) прав доступу до інформаційних систем електронної охорони здоров'я ініціюється заявкою суб'єкта (Додаток №2). Заявка візується керівником організації, чим підтверджується виробнича необхідність доступу (зміни прав доступу) даного суб'єкта і допуску даної особи до інформаційних систем електронної охорони здоров'я та конфіденційної інформації, необхідних для виконання службових обов'язків і рішення їм зазначених завдань. На підставі заявки адміністратор проводить необхідні операції по створенню (зміни, видалення) облікового запису, прав доступу і пароля.

27. Доступ до інформаційних систем електронної охорони здоров'я та конфіденційної інформації грунтується на рольовому підході, при реєстрації суб'єкта організації йому призначається:
  роль суб'єкта організації, яка строго обмежує доступ суб'єкта до інформаційних систем електронної охорони здоров'я з інших організацій;
  роль профілю організації або підрозділу, яка строго обмежує доступ до конфіденційної інформації не відноситься до даного профілю організації або має статус «обмежений доступ»;
  роль службового становища, яка розділена на кілька подролей в залежності від рівня і статусу організації: керівник організації - керівник підрозділу - лікуючий лікар - лаборант і т.д.

28. Ролі доступу службового становища:
  персональна - надана співробітнику особисто (наприклад, дільничного лікаря-терапевта дана роль надає доступ до персональної інформації про здоров'я прикріпленого населення до територіального відділку, відповідно до зазначеної процедури як в пункті 13 або у відповідній організаційно-розпорядчої документації);
  посадова - надана співробітнику відповідно до яку він обіймав посадою (лікуючий лікар, зав. відділенням та ін. відповідно до зазначеної процедури в пункті 13);
  ситуаційна - відповідає ситуації (ролі), в якій співробітник виконує свої обов'язки (наприклад, черговий лікар на час чергування повинен мати більше прав, ніж лікар відділення; лікар-консультант - тільки при проведенні консультації або лікар-лаборант при виконанні дослідження може отримувати повний доступ до всіх ЕЕМЗ пацієнта відповідно до зазначеної процедури в пункті 13).

29. Права доступу можуть поширюватися на окремі типи ЕЕМЗ або записи, які стосуються певному суб'єкту.

30. В основу розподілу прав доступу повинні бути покладені вимоги до ведення паперових медичних документів, визначені існуючими нормативними документами, і прийнята технологія лікувально-діагностичного процесу медичної організації.

31. Права доступу пацієнта до ЕПЗ визначені загальними правами відповідно до чинного законодавства Республіки Казахстан, однак при цьому забезпечується конфіденційність медичних даних. Власні ЕМЗ / ЕЕМЗ можуть бути передані суб'єкту у вигляді паперових копій або у вигляді копій на електронних носіях (дискетах, CD і DVD дисках, флеш-картах і т.д.). При передачі пацієнтові паперових або електронних копій ЕМЗ / ЕЕМЗ відповідальність за забезпечення конфіденційності покладається на самого суб'єкта.

32. За рішенням керівництва медичної організації або етичних міркувань деякі ЕМЗ / ЕЕМЗ можуть бути закриті лікарем суб'єкта. При цьому відповідальність за дотримання конституційних прав суб'єкта покладається на керівництво медичної організації.

33. У встановленому законодавством РК порядку, а також згідно з правилами і документів, що регламентують передачу ЕМЗ / ЕЕМЗ, дані ЕМЗ / ЕЕМЗ можуть бути передані незалежним організаціям (запити правоохоронних органів, проведення експертизи і т.д.). При передачі персональної інформації про здоров'я в електронній формі повинні строго дотримуватися вимоги конфіденційності щодо медичних даних суб'єкта. Передані дані повинні бути підписані ЕЦП автора ЕМЗ / ЕЕМЗ або керівника (довіреної особи) передавальної організації.

34. При використанні ЕЦП для підписання ЕМЗ, підпис може охоплювати всю інформацію: ЕМЗ, все прикріплені файли і всі елементи формалізованих даних, а також ЕЦП може бути створена для кожної зі складових частин ЕМЗ, прикріплені файли і елементи формалізованих даних окремо.

35. Для забезпечення вимог інформаційної безпеки, а також проведення ревізії облікових записів, термін дії надання доступу не повинен перевищувати 1 рік (за винятком описаного в пункті 37 і 38). Дані обмеження встановлюються адміністратором під час створення облікового запису.

36. При реєстрації (створення ідентифікатора і облікового запису) суб'єкта доступу, адміністратор в обов'язковому порядку включає запис всіх дій користувача (реєстрація входу виходу, вироблених дій), і ін. Зберігання інформації про дії користувача повинно зберігатися протягом 1 року, на зовнішніх носіях в сейфі структурного підрозділу інформаційної безпеки.

37. Деактивация облікового запису відбувається на підставі заявки підписаної керівником організації, обхідного листа пред'явленого при звільненні співробітником. Інформація, створена звільненим користувачем, залишається доступною для даної організації. У разі зміни місця роботи суб'єкта доступу організації, облікові дані не видаляються, а виробляється зміна ролей відповідно до знову поданої заявки.

38. Надання доступу суб'єктам доступу до конфіденційних інформаційними ресурсами дозволяється виробляти адміністратору. Суб'єкту доступу під розпис повідомляється ідентифікатор, тимчасовий пароль, який повинен бути замінений суб'єктом при першому вході в систему. Видача доступу до інформаційних систем електронної охорони здоров'я реєструється в журналі «Журнал реєстрації користувачів і видачі паролів» (Додаток 3).

39. Адміністратор має право:
  припиняти надання інформаційних послуг, доступ до конфіденційної інформації суб'єктам у випадках аварійних ситуацій, компрометації парольно-ключової інформації і за вказівкою керівника організації;
  проводити контроль виконання вимог щодо захисту інформації та технології обробки конфіденційної інформації;
  виробляти настройки на робочих станціях суб'єктів доступу для забезпечення заборони на копіювання конфіденційної інформації на зовнішні носії (USB, СD диски) і заборони на отримання копії екрану (Print Screen).

40. Користувачі мають право запитувати інформаційні послуги, доступ до конфіденційної інформації і інформацію про вимоги та правила обробки конфіденційної інформації.

41. Надання прав доступу до інформаційних систем електронної охорони здоров'я та конфіденційної інформації сторонніх інформаційних систем а також приватних медичних організацій, буде розглядатися і регламентуватися в додатково розробленому регламенті «За поданням прав доступу приватним медичним організаціям і стороннім інформаційних систем до інформаційних ресурсів МОЗ РК», який буде розроблений в міру необхідності.