Алматы қ. ҚДБ "Медеу ауданы БМСКК Орталығы" КМК
0
Нашар көретіндерге
арналған нұсқа
A A A+

   

Кенебаева Сауле Абеуовна
Блогқа өту
Сізді менің блогымда көргеніме қуаныштымын!



 

         

 

 

Ақпарат қауіпсіздігінің саясаты

Утверждено

Главным врачом

ГКП на ПХВ «Центр ПМСП Медеуского района»                  ______________________Кенебаева С.А.

от «____»____________2023г.

 

Политика информационной безопасности

 Алматы  2023г.

  

  1. Настоящая Политика информационной безопасности (далее - Политика) представляет собой главный организационный документ в области защиты информации ГКП на ПХВ «Городская поликлиника №33»(далее – «ГП №33») и определяет общие направления обеспечения информационной безопасности во всех областях деятельности «ГП №33» и на всех участках его информационных и телекоммуникационных систем с учетом особенности деятельности «ГП №33», его организационной структуры и размещения информационных систем и характера решаемых задач.
  2. Основной целью, на достижение которой направлены все положения настоящей Политики, является защита информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи обеспечения информационной безопасности (далее - ИБ) сводятся к прогнозированию и предотвращению таких воздействий, а также к минимизации ущерба от их реализации.
  3. Цели и потребности деловых процессов «ГП №33», требования к безопасности, используемые процедуры и структура непосредственно влияют на цели и задачи, стоящие перед системой ИБ. В «ГП №33» создается и развивается система обеспечения ИБ, базирующаяся на основных принципах обеспечения ИБ «ГП №33», действующем законодательстве Республики Казахстан, а также национальных и международных стандартах.

 

1                   Область применения

 

  1. Настоящая Политика устанавливает процедуру управления процессами обеспечения ИБ «ГП №33».
  2. Область распространения настоящей Политики автоматизированные и телекоммуникационные системы и ресурсы, владельцем которых является «ГП №33».
  3. Требования настоящей Политики распространяются на все структурные подразделения «ГП №33», а также работников и представителей сторонних организаций, имеющих доступ к информационным активам «ГП №33»
  4. Управление ИБ является частью общего корпоративного управления «ГП №33», которая ориентирована на содействие достижению целей деятельности «ГП №33» через обеспечение защищенности его информационной сферы. Управление ИБ не должно рассматриваться как самостоятельный вид деятельности «ГП №33».
  5. Настоящая Политика является внутренним нормативным документом «ГП №33» и не подлежит представлению другим сторонам, кроме уполномоченных государственных органов.

 

2                   Определения и сокращения

 

  1. В настоящей Политике применяются термины в соответствии с законами Республики Казахстан «Об информатизации», «Об электронном документе и электронно-цифровой подписи» а также следующие термины с соответствующими определениями
  • Информация - сведения об «ГП №33» либо о её деятельности, находящиеся на электронном или бумажном носителях, при необходимости, удостоверяемые печатью, рукописной либо электронной цифровой подписью;
  • Безопасность - состояние защищенности «ГП №33» от внутренних и внешних условий, процессов и факторов, ставящих под угрозу ее устойчивое развитие и экономическую независимость;
  • Информационная безопасность (ИБ) - состояние защищенности информационных ресурсов и интересов «ГП №33»в информационной сфере;
  • Информатизация - организационный, социально-экономический и научно-технический процесс, направленный на формирование и развитие электронных информационных ресурсов, информационных систем на основе использования информационных технологий; 
  • Информационная система - аппаратно-программный комплекс, предназначенный для реализации информационных процессов;
  • Информационные процессы - процессы создания, сбора, обработки, накопления, хранения, поиска, передачи, использования и распространения электронных информационных ресурсов с использованием информационных технологий;
  • Информационные технологии (ИТ) - совокупность методов, производственных процессов и программно-технических средств, объединенных в технологический комплекс, обеспечивающий сбор, создание, хранение, накопление, обработку, поиск, вывод, копирование, передачу и распространение информации;
  • Администратор - К администраторам относятся уполномоченные работники «ГП №33», обеспечивающие функционирование соответствующих механизмов. Пользователь - Работники «ГП №33», а также третьи лица, имеющие доступ к информационным ресурсам «ГП №33», обращающиеся к информационным системам за получением необходимых электронных информационных ресурсов и пользующиеся ими;
  • Контролер - Контролерами являются уполномоченные работники «СБ и ГО»
  • КИС - Корпоративная информационная система;
  • «ГП №33» - «Городская поликлиника №33»;
  • СБ и ГО – Служба безопасности и гражданской обороны;
  • ПО - Программное обеспечение;
  • ОС - Операционная система;
  • ПК - Персональный компьютер;

 

3                   Общие положения

 

  1. В настоящей Политике определяются принципы, цели, задачи и основные положения обеспечения информационной безопасности «ГП №33»
  2. Настоящая Политика обеспечивает процессы информационной безопасности и ответственность за их выполнение, а также определяет развивающие ее частные Правила, организационно-распорядительные документы по процессам обеспечения информационной безопасности.
  3. На основе настоящей Политики строится вся организационно-распорядительная документация и все процессы обеспечения информационной безопасности «ГП №33».
  4. Принципы построения комплексной системы защиты:
  • законность – предполагает осуществление защитных мероприятий и разработку системы безопасности информации «ГП №33» в соответствии с действующим законодательством Республики Казахстан;
  • системность – системный подход к построению системы защиты информации и предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации;
  • комплексность – комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано;
  • непрерывность защиты – непрерывный, целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла информационных систем;
  • своевременность – предполагает упреждающий характер мер для обеспечения безопасности информации;
  • преемственность и совершенствование – предполагают постоянное совершенствование мер и средств защиты информации;
  • конфиденциальность, достоверность, разграничение ответственности и контроля.
    1. Основной целью, защиты информационных ресурсов и информационных систем «ГП №33» является защита субъектов информационных отношений от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования информационных систем «ГП №33», или несанкционированного доступа к циркулирующей в них информации и ее незаконного использования.
    2. Основными задачами системы обеспечения безопасности информации являются:
  • обеспечение необходимой доступности информационных ресурсов 
    «ГП №33» в целях обеспечения непрерывности бизнеса;
  • обеспечение целостности информационных ресурсов «ГП №33» в целях обеспечения требуемой поддержки деятельности «ГП №33» в информационной сфере, включая задачи принятия решений;
  • обеспечение конфиденциальности информации, отнесенной к закрытым сведениям «ГП №33»;
  • обеспечение достоверности и актуальности обрабатываемой информации;
  • утверждение единой корпоративной этики в вопросах информационной безопасности, поддерживающей осведомленность работников;
  • защиту законных прав «ГП №33» и работников, в случаях неправомерного использования или злоупотребления информационными активами;
  • защиту от несанкционированных действий в процессах функционирования информационных систем;
  • разграничение прав доступа к информации, серверам и рабочим станциям, средствам защиты.

 

4                   Распределение обязанностей за обеспечение ИБ

 

  1. Руководство «ГП №33»:
  • Формирует стратегию развития поликлиники;
  • Формулирует требования к информационной системе поликлиники;
  • Обеспечивает контроль за составом и актуализацией нормативной документации;
  • Обеспечивает участие руководителей поликлиники в обсуждении общих направлений развития ИТ «ГП №33»;
    1. СБ и ГО:
  • Обеспечивает выбор и приобретение средств ИБ поликлиники и поддержки для них;
  • Контролирует сервер логов и постоянно мониторинг работы подсистем и администраторов;
  • Производит внутренний аудит структуры КИС и контролирует соблюдение политики ИБ;
    1. Для выполнения служебных обязанностей пользователям предоставляются на строго регулируемой основе ресурсы КИС:
  • Электронная почта;
  • Доступ в Интернет;
  • Доступ к файл-ресурсам и приложениям локальной сети;
  • Доступ в телефонную сеть поликлиники;
  • Доступ к персональной рабочей станции.
    1. Все ресурсы предоставляются лишь для служебного пользования и не подлежат использованию в личных целях, а также для осуществления попыток доступа к данным другим пользователям и для ведения коммерческой деятельности за пределами, предусмотренными служебными обязанностями пользователей.
    2. Оставленные без присмотра оборудование и информационные материалы могут быть использованы другими пользователями или злоумышленниками для получения неавторизованного доступа к данным или компонентам КИС. Пользователи обязаны придерживаться политики «чистого стола» в соответствии с категориями документов с которыми они работают, и дополнительно – специальными мерами безопасности, предусмотренными нормативной документацией для отдельных категорий документов и отдельных категорий пользователей.

 

 

5                   Способ осуществления

 

  1. Объектами информационной безопасности «ГП №33» являются:

   информационные ресурсы с ограниченным доступом, составляющие коммерческую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления;

 

6                   Безопасность системных файлов

 

  1. Системными файлами рабочих станций и серверов являются исполняемые файлы, динамически загружаемые модули, конфигурационные файлы отдельных сервисов и реестра,  а также временные файлы сервисов и файлы подкачки.  К системным файлам относятся не только файлы собственно операционной системы, но и некоторых приложений, поскольку у некоторых производителей ОС, широко применяемых в поликлиники, офисные приложения очень тесно интегрированы с операционной системой.
  2. Для повышения безопасности системных файлов, помимо применения других методов обеспечения безопасности, описанных в нормативной документации, соответствующие системные администраторы обязаны:
  • Не устанавливать сервисы и приложения, не связанные с реально используемой функциональностью системы;
  • Не хранить предыдущие версии программных продуктов в той же системе;
  • Производить резервное копирование системных файлов перед установкой обновлений в систему;
  • Следить за корректностью работы антивирусного ПО на сервере хранения патчей, сервис-паков и обновлений;

 

7                   Безопасность носителей данных

 

  1. Важные документы, принадлежащие Обществу, должны иметь защиту от утраты, повреждения и фальсификации. Некоторые документы должны храниться с соблюдением норм безопасности для того, чтобы обеспечить соответствие требованиям законов и нормативных актов, а также поддержать важные области деятельности поликлиники.
  2. Документы необходимо классифицировать по типу (например, бухгалтерские записи, записи баз данных, журналы транзакций, контрольные журналы и правила эксплуатации). Для каждой записи необходимо указать период хранения и тип носителя (например, бумага, микрофильм, магнитный или оптический диск). Все криптографические ключи, относящиеся к зашифрованным архивам или цифровым подписям должны храниться в секрете и при необходимости предоставляться авторизованным лицам.
  3. Основные запоминающие устройства:
  • Съемные носители информации (диски, ленты, дискеты, флэш карты всех типов и видов);
  • Жесткие диски, переносные съемные диски;
  • CD/DVD-ROM, ZIP, Флэш кард-ридеры и все другие виды устройств, работающих со съемными носителями информации;
  • Принтеры, сканеры;

 

8                   Безопасность оборудования

 

  1. Требования к защите оборудования:
  • Оборудование должно размещаться с учетом требования минимизации доступа в рабочее помещение лиц, не связанных с обслуживанием этого оборудования. Помещения размещения телекоммуникационного оборудования, кроссового оборудования и серверные комнаты должны быть разделены. Могут совмещаться помещения размещения активного сетевого оборудования и серверные помещения при условии, что для каждой категории оборудования выделены отдельные запираемые шкафы, ключи от которых имеют только соответствующий персонал ОС и ВТ;
  • Помещения размещения оборудования должны быть надежно защищены;
  • Каждая единица оборудования должна подключаться к сети электропитания через свой автомат, что гарантирует отсутствие влияние возникшей неисправности на другое оборудование.

 

 

 

9                   Меры защиты информационных ресурсов и информационных систем

 

  1. Безопасное функционирование поликлиники должно основываться на своевременности обнаружения проблем в сфере ИБ, , выявлении причинно-следственных связей возможных проблем и создании на этой основе точного прогноза их развития.
  2. Меры по физической защите информационно-технических ресурсов:
  • элементы информационной системы, потенциально подверженные ущербу, размещаются в защищенных зонах; уровень защищенности зоны должен соответствовать потенциальным угрозам в отношении информационно-технических ресурсов внутри неё;

 

10              Данные, документация и программное обеспечение

 

  1. Вся информация, хранимая, разработанная, обрабатываемая и передаваемая по каналам связи в информационных и телекоммуникационных системах 
    поликлиники, которая не была специально идентифицирована как собственность третьих сторон, является собственностью «ГП №33». Политика информационной безопасности запрещает несанкционированный доступ к информации, разработанной, обрабатываемой, хранимой и передаваемой в информационных системах поликлиники, ее раскрытие, передача, копирование, изменение, удаление, ненадлежащее использование, а также неправомерное обращение с носителями этой информации.

 

  • Работа с электронной почтой, в сети Интернет и с документами ограниченного распространения.

 

  1. Принципы и основные правила обеспечения ИБ при использовании сервиса обмена электронными сообщениями приведены в Правилах при работе с электронной почтой в «ГП №33»
  2. Требования к обслуживанию и использованию сервиса Интернет, с целью обеспечения его соответствия потребностям бизнеса с одной стороны, а с другой стороны, выполнения корпоративных требований по безопасности приведены в Правилах при работе в Интернет в «ГП №33»

Сделано в ТОО «IT Group Kazakhstan»

Создание сайтов для Государственных учреждений в Казахстане

© 2004 - 2021

© 2021 Все права защищены

Яндекс.Метрика