Реферат: Политика информационной безопасности. Глобальная политика

Государственное бюджетное образовательное учреждение дополнительного профессионального образования «Новокузнецкий государственный институт усовершенствования врачей» Министерства здравоохранения и
социального развития Российской Федерации


«Утверждаю»

ректор ГБОУ ДПО НГИУВ

Минздравсоцразвития России

д.м.н., профессор А.В. Колбаско

____________________________

«_____» ____________ 2011 г.


Политика
информационной безопасности

ГБОУ ДПО НГИУВ
Минздравсоцразвития России


Новокузнецк 2011

Содержание



Политика информационной безопасности.
Глобальная политика. 3

^ ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Антивирусная защита. 5

Политика информационной безопасности.
Политика локальной вычислительной сети.
Политика сетевого администрирования. 8

Политика информационной безопасности.
Управление доменом. 13

Политика информационной безопасности.
Электронная почта. 18

Политика информационной безопасности.
Интернет. 20

^ ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Управление программным обеспечением. 22

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Файловый обмен. 24

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Эксплуатация портативных мобильных устройств. 26

^ ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Политика пользователя. 28

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Архивирование, резервное копирование
и восстановление данных 31
^ Политика информационной безопасности.
Глобальная политика.



термины, сокращения и нормативные ссылки




СМИБ – система менеджмента информационной безопасности.

В настоящем документе применены также термины и использованы ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК ТО 27001 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».

ГОСТ Р ИСО/МЭК ТО 133335-2 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».

ГОСТ Р ИСО/МЭК ТО – 13335-4 – 2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер».

ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасной сети».

ГОСТ Р ИСО/МЭК ТО 1777799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью.



ВВЕДЕНИЕ




Цель глобальной политики безопасности – установление в Государственном Бюджетном Образовательном Учреждении Дополнительного Профессионального Образования «Новокузнецкий Государственный Институт Усовершенствования Врачей Минздравсоцразвития России» (ГБОУ ДПО НГИУВ Минздравсоцразвития России) (далее – институт) норм, обеспечивающих безопасность информационных систем, их отказоустойчивость, целостность данных, описывающих права и обязанности пользователей в информационной системе института.

Глобальная политика является основной политикой безопасности института и является частью СМИБ, основанной на использовании методов оценки рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.




^ ОБЛАСТЬ ДЕЙСТВИЯ




Действие данной политики распространяется на всех пользователей ГБОУ ДПО НГИУВ Минздравсоцразвития России, врачей-курсантов, интернов и ординаторов, использующих в процессе обучения информационные сервисы института.

Область действия других политик информационной безопасности определены в самих политиках.




ПОЛИТИКА




Данная политика и все политики информационной безопасности разработаны, основываясь на принципах и в соответствии с требованиями и рекомендациями международных правовых актов по информационной безопасности и Российского законодательства, в том числе основываясь на документах, перечисленных в разделе 2. данной политики.

Все политики разработаны, исходя из положения, что ГБОУ ДПО НГИУВ Минздравсоцразвития России является самостоятельным учреждением, и вся информация, принадлежащая институту, является его информативным активом. Институт предпринимает меры для защиты своих информационных активов от несанкционированного использования, изменения или уничтожения. Вне зависимости от того, какие средства используются для создания, передачи или хранения информации, должны быть использованы адекватные меры по ее защите.

Любая информация, хранимая на рабочих станциях и серверах института, принадлежит институту.

Все политики безопасности разделены на политики Пользователя и политики Администрирования. Политики пользователя определяют права и обязанности пользователя при использовании информационного актива института. Политики администрирования определяют требования конфигурирования рабочих станций, серверов, локальной вычислительной сети и других объектов инфраструктуры.

Все политики информационной безопасности утверждены руководителем института и должны быть доведены до каждого пользователя руководителями структурных подразделений.

Контроль за реализацией и соблюдением политик осуществляет отдел информационных технологий института.

Периодически, но не реже одного раза в год политики информационной безопасности должны пересматриваться в соответствии с прошедшими изменениями инфраструктуры института.




ОТВЕТСТВЕННОСЬ




В случае нарушения любой политики безопасности, ответственными лицами за информационную безопасность института (заведующий отделом информационных технологий, системный администратор, администратор сети) проводится служебная проверка.

По результатам служебной проверки, ответственный за информационную безопасность, в лице заведующего отделом информационных технологий, может внести представление на руководителя подразделения или руководителя института по направлению о применении к нарушившему политику безопасности работнику дисциплинарных взысканий и материального воздействия в соответствии с действующими приказами института.



ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Антивирусная защита.



^ Термины, сокращения и нормативные ссылки




АВЗ – антивирусная защита.

Антивирусная защита – комплекс правовых, организационных и технических мер по защите информационных активов института от воздействия вредоносных программ.

Антивирусное ПО – программное обеспечение, предназначенное для защиты от вредоносных программ посредством обнаружения зараженных программных модулей и системных областей, распознания и блокировки вирусных сигнатур, а также для восстановления исходного состояния зараженных объектов.

Вирус (компьютерный) – вредоносная программа, способная создавать свои копии или другие вредоносные программы и внедрять их в файлы, системные области компьютера, распространяться через компьютерные сети, а также осуществлять другие деструктивные действия.

Система АВЗ – совокупность органов и/или исполнителей, используемые ими программное обеспечение, техника, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по АВЗ.

В настоящем документе применены также термины и использованы ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК ТО 13335-2 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»

ГОСТ Р ИСО/МЭК ТО 13335-4 – 2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер»

ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети»

ГОСТ Р ИСО/МЭК ТО 177799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью»


ВВЕДЕНИЕ


Целью данной политики безопасности является:

Определение основных принципов построения системы защиты информационных активов ГБОУ ДПО НГИУВ Минздравсоцразвития России от угроз, связанных с воздействием вредоносных программ на элементы информационной инфраструктуры.

Определение основных мер АВЗ и областей их внедрения для обеспечения выполнения Федерального законодательства, требования и рекомендаций национальных и международных стандартов в области информационной безопасности.




^ ОБЛАСТЬ ДЕЙСТВИЯ


К области применения требований данной политики относятся:

Локальная вычислительная сеть института.

Переносные автоматизированные рабочие места сотрудников института (ноутбуки, нетбуки, IPad), имеющие доступ и возможность подключения в состав ЛВС института.

Удаленные автоматизированные рабочие места сотрудников института, использующие информационные ресурсы ЛВС института.

Отдельные автономные автоматизированные рабочие места, не имеющие физического подключения к ЛВС института.

Руководство, сотрудники института, в том числе интерны и ординаторы и врачи-курсанты, имеющие доступ к вышеуказанным техническим средствам и системам.




ОТВЕТСТВЕННОСТЬ




Ответственность за соблюдение данной политики возлагается на всех сотрудников института, в том числе интернов и ординаторов, а также на всех врачей-курсантов, использующих программно-технические средства института на основании соответствующих соглашений. Категорически запрещается удалять или отключать установленные средства антивирусной защиты.

Указанные лица несут ответственность за ущерб, причиненный ГБОУ ДПО НГИУВ Минздравсоцразвития России вследствие нарушения ими установленных требований в области антивирусной защиты, в полном объеме Федерального законодательства.




ПОЛИТИКА




Антивирусная защита строится на трех уровнях АВЗ.

Первый уровень антивирусной защиты – уровень защиты сети Интернет – шлюза доступа (HTTP, FTP трафика).

Второй уровень антивирусной защиты – уровень защиты почтовых систем (SMTP/POP3 трафика).

Третий уровень антивирусной защиты – уровень защиты файловых серверов и рабочих станций.

Ответственными за инфраструктуру института в области информационных технологий (зав. отдела информационных технологий, системный администратор) определяется стандартный состав корпоративного антивирусного программного обеспечения. Установка иного антивирусного программного обеспечения не допускается.

Антивирусное программное обеспечение должно быть установлено, настроено и активировано на всех программно-технических средствах, имеющих доступ к информационным активам института, до начала их использования или подключения к информационным ресурсам института.

Все возможные каналы поступления вредоносного программного обеспечения в информационно-технологическую инфраструктуру института должны быть определены, проанализированы и защищены средствами антивирусной защиты.

Контролю на предмет обнаружения вредоносных программ должна подвергаться вся информация, создаваема и обрабатываемая программно-техническими средствами института, а также принимаемая (передаваемая) посредством сменных носителей информации и средствами телекоммуникаций.

С целью эффективной борьбы с новыми видами зловредного программного обеспечения и уменьшения накладных расходов на администрирование должно выполняться централизованное, регулярное обновление всех средств антивирусной защиты, используемых для защиты информационных систем института.

Для эффективной реализации АВЗ института, необходимо:

унифицировать антивирусное программное обеспечение с возможностью централизованного управления

постоянное, своевременное обновление антивирусных баз и программных компонентов

Реализацию данного пункта политики безопасности осуществляет системный администратор, контроль за исполнением обеспечивает заведующий отделом ИТ.

Любые информационные системы, используемые в ЛВС института или подключаемые к ней как локально, так и удаленно, в ходе эксплуатации должны подвергаться непрерывному антивирусному мониторингу и сканированию. К таковым системам относятся сервера и рабочие станции ЛВС института, а также мобильные и отдельные автономные автоматизированные рабочие места руководства, сотрудников института и врачей-курсантов, имеющие доступ к информационным активам института.




КОНТРОЛЬ




Контроль от имени института за исполнением данной политики безопасности возлагается на заведующего отделом информационных технологий ГБОУ ДПО НГИУВ Минздравсоцразвития России, выполняющим ответственность за информационную безопасность института.
^ Политика информационной безопасности.
Политика локальной вычислительной сети.
Политика сетевого администрирования.



ТЕРМИНЫ И НОРМАТИВНЫЕ ССЫЛКИ




В настоящем документе применены термины и использованы ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК ТО 13335-2 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»

ГОСТ Р ИСО/МЭК ТО 13335-4 – 2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер»

ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети»

ГОСТ Р ИСО/МЭК ТО 177799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью»


ВВЕДЕНИЕ




ГБОУ ДПО НГИУВ Минздравсоцразвития полагается на использование информации при ведении своей профессиональной деятельности. Обмен данными и доступ к информационным сервисам осуществляется посредством локальной вычислительной сети (ЛВС).

Цель данной политики – определение требований к обеспечению безопасности сетевых соединений и правил обслуживания аппаратной и программной информационной инфраструктуры ЛВС института.




^ ОБЛАСТЬ ДЕЙСТВИЯ




Область действия данной политики распространяется на конфигурирование всех компонентов ЛВС: каналы связи, активное сетевое оборудование (АСО), сетевые интерфейсы, программное обеспечение управления и мониторинга ЛВС.




ПОЛИТИКА




Вычислительная сеть ГБОУ ДПО НГИУВ Минздравсоцразвития России является локальной вычислительной сетью, используемой для местного соединения имеющихся информационных систем. Сетевые соединения в рамках ЛВС классифицируются как «Соединение в пределах одной контролируемой территории» согласно п.10 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. Требования к безопасности данного соединения должны соответствовать п.4.28 данной политики.

ЛВС является сетью передачи данных. Режим работы сети – круглосуточный. Основным транспортным протоколом для передачи данных является протокол TCP/IP. Использование других протоколов не допускается.

В сети допускается использование разных типов приложений: клиент-серверных, на основе эмуляции терминала, WEB приложения и др.

Для адресации сети используется адресное пространство разрешенного частного адресного пространства Интернет.

Сетевая структура должна представлять коммутируемую, маршрутизируемую сеть с пропускной способностью 10/100/1000 Mb/сек.

В пределах ЛВС допускается наличие канала связи с другими информационными сетями для получения доступа к информационным ресурсам подразделений института, а также доступа к сервисам сторонних организаций. Данное соединение классифицируется как «Соединение с другими организациями» согласно п.10 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. Требования безопасности к данному типу сетевого соединения должны соответствовать п.4.29 данной политики безопасности.

В пределах ЛВС допускается наличие канала с общедоступной сетью Интернет. Данное соединение классифицируется как «Соединение с инородными областями общего пользования» согласно п.10 ГОСТ Р ИСО/МЭК ТО 13335-2 – 2006. Требования к безопасности данного типа сетевого соединения должны соответствовать п.4.30 данной политики безопасности.

В целях обеспечения удаленного доступа к информационно-техническим сервисам института допускается наличие канала связи удаленного доступа. Данное соединение классифицируется как «Соединения между узлом связи организации и персоналом, работающим в местах, удаленных от организации» согласно ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. Требования к безопасности данного типа сетевого соединения должны соответствовать п.4.31 данной политики безопасности.

В сети не допускается иных каналов связи, которые перечислены в п.4 данной политики.

Схемы логической и физической топологии должны быть выполнены в соответствии с требованиями «Требования к оформлению технических чертежей (схем) подсистемы активного сетевого оборудования»

Схемы логической и физической топологии хранятся на централизованном ресурсе института. Ответственность за актуальное состояние схем ЛВС несет системный администратор института. Доступ к данному ресурсу имеют только системный администратор и администратор сети. Зав. отделом информационных технологий осуществляет контроль и участвует в реорганизации.

Все сетевые компоненты должны быть идентифицированы и учтены в базе данных сетевого администрирования. Ответственность за актуальную информацию базы данных сетевого администрирования несет системный администратор. Доступ к данному ресурсу имеют только системный администратор и администратор сети.

Резервные копии конфигурационных файлов АСО должны храниться на централизованном ресурсе института. Ответственность за хранение актуальных копий конфигурационных файлов АСО несет системный администратор.

Все единицы АСО должны быть установлены либо в отдельных охраняемых помещениях, либо в шкафах, не имеющих возможности общего пользования.

Предпочтительными для конфигурирования АСО являются международные стандартные протоколы. Допускается использовать протоколы разработчика АСО, если они имеют ограниченную область действия и хорошо интегрируются в существующую гетерогенную инфраструктуру.

Все устройства АСО должны быть синхронизированы с сервером синхронизации времени института.

Доступ и удаленное управление АСО разрешено только системному администратору.

Доступ и удаленное управление АСО ограничен по IP адресу сетевого интерфейса рабочего персонального компьютера системного администратора.

Удаленное управление АСО разрешено после прохождения аутентификации и авторизации.

Параметры аутентификации и авторизации АСО должны быть отконфигурированы. Не разрешается использовать параметры, установленные по умолчанию заводом изготовителем АСО.

Не разрешается устанавливать доступ по протоколу SNMP в режиме изменения.

На всех портах АСО должен быть установлен режим управления доступом к среде.

На всех портах АСО должен быть режим STP или его производные.

Все неиспользуемые порты АСО должны быть отключены.

С целью выявления слабых мест в конфигурации сети должен выполняться мониторинг. Мониторинг проводится системным администратором, при необходимости могут привлекаться сотрудники отдела ИТ. Узлы, параметры для мониторинга и уровень детализации определяется администратором сети с учетом получения достаточной информации для проактивного анализа с целью предотвращения простоев сети и активного анализа при поиске неисправностей. Трафик, генерируемый системами управления сетью, не должен создавать препятствия для передачи данных в ЛВС института.

Тестирование новой аппаратной и программной инфраструктуры допускается только на оборудовании, которое не участвует в передаче данных института.

Изменение конфигурации и установка новых версий программного обеспечения АСО, вызывающих остановку передачи данных в сети, допускается только в нерабочее время (вечернее и ночное время). Допускается изменение конфигурации АСО в исключительных случаях для устранения неисправности.

Информация системных журналов аудита АСО должна быть централизована


Требования к сетевому соединению
«Соединение в пределах одной контролируемой территории»


Доверительная среда, связанная с данным типом соединения, согласно п.11.2 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. высокая/частная – высокое доверие и использование частной сети.

Все порты АСО, используемые для подключения персональных компьютеров сотрудников и другого АСО принадлежат виртуальной сети ЛВС ГБОУ ДПО НГИУВ Минздравсоцразвития России. В целях ограничения несанкционированного доступа допускается местное деление по виртуальным сетям по необходимым выполняемым задачам или по уровню безопасности.



Требования к сетевому соединению
«Соединение с другими организациями»


Доверительная среда, связанная с данным типом соединения, согласно п.11.2 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. низкая/частная – низкое доверие и использование частной сети.

Условия взаимодействия данного типа соединения определяются контрактом/договором, который заключается между институтом и сторонней организацией. Запрещается межсетевое взаимодействие по каналам связи в случае отсутствия контракта/договора.

Допускается сетевое взаимодействие между ЛВС института и сторонней организации только через маршрутизаторы. На границе ЛВС должен быть установлен контроль доступа в ЛВС для входящих и исходящих данных. Ограничений на уровень контроля доступа (приложений, сетевой, канальный) не накладывается.

Доступ к сервисам, использующим данное сетевое соединение, разрешается предоставлять только после прохождения процесса аутентификации и авторизации.

За контролем доступа по данному сетевому соединению должен быть установлен аудит. Доступ к журналам аудита имеет системный администратор и зав. отделом информационных технологий.


Требования к сетевому соединению
«Соединение с однородными областями общего пользования»


Доверительная среда, связанная с данным типом сетевого соединения, согласно п.11.2 ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. низкая/общая – низкое доверие и использование общей сети.

Допускается сетевое взаимодействие по данному сетевому соединению только через межсетевой экран. Ограничений на техническую инфраструктуру и схему сетевого экрана не накладывается.

На границе межсетевого взаимодействия должен быть установлен контроль доступа на входящие и исходящие данные на сетевом и транспортном уровне.

Общедоступные информационные ресурсы института выделены в зону, к которой организован общий доступ.

Доступ пользователей ЛВС к сервисам, использующим данное соединение, разрешается предоставлять только после прохождения процесса аутентификации и авторизации.

Для контроля доступа по данному сетевому соединению должен быть установлен аудит. Доступ к журналам аудита имеет системный администратор и зав. отделом информационных технологий.

Создание виртуальных частных сетей с использованием канала сети Интернет разрешается только по шифрованному каналу.

Весь входящий и исходящий трафик анализируется на наличие вирусов и сигнатур известных атак.

Отправляемые во внешние сети сообщения не содержат информации о внутренней адресации сети.

^ Требования к сетевому соединению «Соединения между узлом связи организации и персоналом, работающим в местах, удаленных от организации»


Доверительная среда, связанная с данным типом сетевого соединения, согласно ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006. низкая/общая – низкое доверие и использование общей сети.

Допускается сетевое взаимодействие по данному соединению только через межсетевой экран. Для данного сервиса выполняются все требования к сетевому соединению «Соединение с однородными областями общего пользования»

Доступ пользователей к сервису удаленного доступа разрешается предоставлять только по производственной необходимости на основе представления, полученному согласно принятому алгоритму получения доступа к серверу в институте

Передача данных посредством сервиса удаленного выполняется только по шифрованному каналу. Ограничений на техническую реализацию сервиса удаленного доступа не накладывается.

Аутентификационные данные для пользователей, отправляющихся в командировку, выдаются на срок не превышающий время пребывания вне территории института.

Компьютеры, с которых осуществляется удаленный доступ, должны удовлетворять требованиям безопасности вычислительной сети института.


Требования к настройке сетевых параметров компьютеров клиентов.


Сетевые параметры компьютер клиента получает автоматически.

Пользователь компьютера не должен иметь возможность изменять сетевые конфигурационные параметры.




КОНТРОЛЬ




Контроль от имени института за исполнением данной политики безопасности выполняет системный администратор ГБОУ ДПО НГИУВ Минздравсоцразвития России.



^ Политика информационной безопасности.
Управление доменом.



Термины




Домен lf.local – логическая структура организации рабочих станций, серверов и пользователей, позволяющая осуществлять централизованное управление учетными записями пользователей и компьютеров, вести единую политику института по защите информационных активов.

Групповая политика домена (ГП) – набор шаблонов, правил, определяемых администраторами домена для централизованного управления пользователями, рабочими станциями и серверами в домене на основе политик информационной безопасности.

Паспорт групповой политики – документальное описание групповой политики, включающее в себя описание ГП, область ее действия, автора, срока действия.

Пользователь – любое лицо, являющееся работником института, чье исполнение служебных обязанностей связано с использованием ресурсов корпоративной вычислительной сети института.

Администратор домена – специалист, ответственный за администрирование домена в рамках политики безопасности.

Полномочия – перечень операций, доступных для выполнения конкретному пользователю.

Роль – набор функций (полномочий), необходимых для выполнения пользователем своих функциональных обязанностей.

Учетная запись пользователя – совокупность атрибутов (Ф.И.О., имя пользователя в сети, его пароль и т.д.), предназначенных для однозначной идентификации пользователя в домене.




ВВЕДЕНИЕ




В институте осуществляется централизованное управление безопасностью рабочих станций и серверов с использованием домена lf.local (далее домен)

Данное положение устанавливает единые правила функционирования и администрирования домена.




^ ОБЛАСТЬ ДЕЙСТВИЯ




Действие данной политики безопасности распространяется на всех сотрудников института, пользователей и администраторов, входящих в домен института.




^ СТРУКТУРА УПРАВЛЕНИЯ ДОМЕНОМ




Домен ГБОУ ДПО НГИУВ Минзравсоцразвития России является самостоятельным доменом учреждения со своей структурой управления доменом.

В целях обеспечения требований единой аутентификации допускается устанавливать доверительные отношения с доменами предприятий, предоставляющими доступ к своим сервисам.

Процесс управления доменом включает в себя:

Формирование, реализацию и контроль исполнения данной политики информационной безопасности.

Техническую реализацию политики информационной безопасности путем формирования/изменения групповых политик, применения организационных мер и другими способами.

Управление учетными записями пользователей, групп, компьютеров (серверов), принтеров и других объектов домена.

Служба информационной безопасности, состоящая из зав.отделом ИТ, системного администратора и администратора сети, формирует (пересматривает и изменяет) политики информационной безопасности.

Политики безопасности включают в себя:

Требования по настройке параметров серверов и рабочих станций

Принципы разграничения полномочий пользователей

Формирование административных шаблонов пользователей и компьютеров

Принципы администрирования домена

Служба информационных технологий разрабатывает и реализует технические и организационные решения согласно требуемым политикам

Сформированные (пересмотренные) политики безопасности утверждаются ответственным за развитие ИТ инфраструктуры (зав. отделом ИТ) и ответственными за информационную безопасность (системный администратор и администратор сети)

4.7.1. Администраторы, пользователи исполняют утвержденные политики информационной безопасности.


Формирование групповых политик домена




Групповые политики (ГП) являются технической реализацией политик информационной политики института

Групповые политики домена формируются/пересматриваются системным администратором и администратором сети

Администратор домена имеет право применять групповые политики в рамках всего домена

Перед вводом групповых политик в эксплуатацию, она должна быть проверена и опробована сотрудниками отдела ИТ вне структуры домена.




требования к учетным записям пользователей




Требования к учетным записям устанавливаются соответствующей политикой безопасности

Порядок создания учетной записи

Учетные записи пользователей создаются администратором домена согласно установленной процедуре. Допускается создание учетной записи в тестовых целях и служебных учетных записей без заявки.

Учетной записи при создании администратором домена назначаются полномочия и соответствующие роли каждого пользователя.

Учетная запись для командировочных лиц и сотрудников работающих по удаленному доступу создается по аналогичной процедуре принимающего подразделения и согласованной с ответственным за информационную безопасность. Для командировочных лиц учетная запись создается на срок командировки.

Все локальные учетные записи на персональных компьютерах клиентов, подключенных к ЛВС, отключены.

Локальная запись администратора на персональных компьютерах клиентов, подключенных к ЛВС, переименована.

В случае возникновения необходимости выполнения действий на компьютере под локальной учетной записью, имеющей права локального администратора, необходимо выполнить следующую последовательность действий:

зарегистрироваться под учетной записью локального администратора

создать временную учетную запись

внести вновь созданную учетную запись в группу локальных администраторов

загрузить операционную систему в обычном режиме и зарегистрироваться под вновь созданной локальной учетной записью

выполнить все необходимые действия и удалить вновь созданную учетную запись

загрузить операционную систему в обычном режиме и зарегистрироваться под доменной учетной записью

Управление учетными записями

Учетные записи должны отражать актуальную информацию о пользователе

Учетная запись обладает полномочиями, определенными ролью ее владельца

В случае увольнения или перевода сотрудника, учетная запись пользователя блокируется и удаляется по истечении двух месяцев со дня увольнения пользователя

Учетные записи пользователей, действующие по заключенному договору, автоматически блокируются по истечении срока действия договора

Учетная запись пользователя может быть заблокирована при нарушении политики информационной безопасности по предъявлению ответственного за информационную безопасность




^ ТРЕБОВАНИЯ К ПАРОЛЯМ




В домене lf.local принята единая аутентификация пользователей по паролю

Пользователям запрещается разглашение пароля, передача прав и доступа другим лицам.

Запрещается использовать в качестве пароля даты рождения, фразы, которые могут быть легко подобраны методом перебора.

Запрещается записывать пароль где-либо, где он может быть легко найден посторонними лицами.

Требования к паролю определяются доменной политикой:

Минимум 6 символов, должен состоять из букв верхнего или нижнего регистра русского или латинского алфавита и цифр, может быть задана частота смены пароля – не менее одного раза в шесть месяцев, число не повторяющихся паролей – 4, минимальное время между сменой пароля – 1 сутки.

Ввод/сброс пароля производится администратором домена при предъявлении документа, удостоверяющего личность пользователя (в случае, если пользователь не известен администратору)




^ ПРАВА И ОБЯЗАННОСТИ АДМИНИСТРАТОРА ДОМЕНА




Администратор домена назначается распоряжением ответственного за развитие ИТ инфраструктуры института.

Администратор домена имеет право:

Вносить на рассмотрение ответственному за информационную безопасность предложения по обеспечению защиты информации в рамках корпоративной локальной вычислительной сети института

Блокировать учетные записи пользователей в случае нарушения ими политики безопасности

Создавать учетные записи в целях отладки и тестирования без права доступа к информационным ресурсам

Администратор домена обязан:

Осуществлять техническую реализацию политик безопасности

Контролировать исполнение политик безопасности

Информировать ответственного за информационную безопасность обо всех фактах нарушения политик безопасности

Администратору домена запрещается:

Делегирование полномочий администратора домена лицам, не допущенным к управлению доменом согласно процедуре п.8.1 данной политики

Самостоятельное создание и уничтожение учетных записей пользователей без согласования с ответственным за политику информационной безопасности института

Самостоятельное изменение прав доступа к корпоративным ресурсам института без наличия представления пользователя на доступ к ресурсу.

Ознакомление с информацией, включая, но не ограничиваясь, хранящейся на рабочих станциях, сетевых ресурсах или в базах данных, владельцем которой он является.




^ ПРАВА И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЯ




Права и обязанности пользователя определяются политикой пользователя, описанной на стр. 28 политики безопасности ГБОУ ДПО НГИУВ Минздравсоцразвития России




^ ПРАВА И ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО
ЗА ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ




Имеет доступ ко всем объектам домена и журналам аудита в режиме чтения

Контролирует групповые политики на соответствие политикам безопасности института

Контролирует соблюдение политик пользователями и администраторами, формирует представление о дисциплинарных взысканиях в случае их нарушения




КОНТРОЛЬ




Контроль от имени института за исполнением данной политики информационной безопасности выполняет ответственный за информационную безопасность в лице заведующего отделом информационных технологий.
^ Политика информационной безопасности.
Электронная почта.



ВВЕДЕНИЕ




Целью данной политики безопасности является:

Определение ответственности пользователей за неправильное использование корпоративн