Приложение Г1
Типовая форма приказа «О выполнении мероприятий, направленных на обеспечение защиты информации, обрабатываемой на объектах информатизации, подключаемых к ГИС РИАМС»
ПРИКАЗ
“ __ ” ____2017 г. № ____
г. Липецк
О выполнении мероприятий, направленных на обеспечение защиты информации, обрабатываемой на объектах информатизации, подключаемых к ГИС РИАМС
С целью организации работ по обеспечению безопасности информации ограниченного доступа, не являющейся государственной тайной (в том числе, персональных данных(ПДн)) обрабатываемой на объектах информатизации (ОИ) _____________________(далее – Учреждение), подключаемых к Государственной региональной информационно-аналитической медицинской системы в сфере здравоохранения Липецкой области (далее - ГИС РИАМС) и во исполнение требований Федерального закона Российской Федерации от 27.06.2006 г. № 152-ФЗ «О персональных данных» и Федерального закона Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и защите информации», нормативных, методических и руководящих документов уполномоченных федеральных органов исполнительной власти,
ПРИКАЗЫВАЮ:
1. Определить следующие ОИ, подключаемые к ГИС РИАМС:
- ОИ «Типовое АРМ ГИС РИАМС ___________________»
2. Назначить администратором безопасности ОИ ____________________________. В своей деятельности администратору информационной безопасности руководствоваться «Инструкцией администратору информационной безопасности объектов информатизации, подключаемых к ГИС РИАМС» и «Положением по организации работ по обеспечению безопасности информации, обрабатываемой на объектах информатизации, подключаемых к ГИС РИАМС».
3. Возложить на администратора безопасности функции ответственного пользователя СКЗИ. Ответственному пользователю в своей деятельности руководствоваться «Инструкцией ответственного пользователя средств криптографической защиты информации, применяемых на объектах информатизации, подключаемых к ГИС РИАМС».
4. Допустить к работе на ОИ (в том числе к работе со средствами криптографической защиты информации) следующих сотрудников Учреждения (пользователей ОИ):
- ФИО, должность
5. Пользователей ОИ ознакомить под роспись со следующими организационно-распорядительными документами:
- Положение об организации режима безопасности помещений, в которых размещены объекты информатизации, подключаемые к ГИС РИАМС.
- Инструкция ответственного пользователя средств криптографической защиты информации, применяемых на объектах информатизации, подключаемых к ГИС РИАМС.
- Инструкция по организации антивирусной защиты на объектах информатизации, подключаемых к ГИС РИАМС.
- Инструкция по организации парольной защиты на объектах информатизации, подключаемых к ГИС РИАМС.
- Инструкция пользователя объектов информатизации на объектах информатизации, подключаемых к ГИС РИАМС.
- Инструкция по организации хранения, учета и работы с материальными носителями информации ограниченного доступа, в том числе с машинными носителями информации.
- Инструкция по регистрации, выявлению и реагированию на инциденты (события безопасности).
- Инструкция по организации учета, хранения и эксплуатации средств защиты информации.
- Инструкция по восстановлению связи в случае компрометации действующих ключей к средствам криптографической защиты информации.
- Инструкция по уничтожению ключевой информации к средствам криптографической защиты информации.
6. Назначить ответственными за помещения, в которых расположены ОИ, подключаемые к ГИС РИАМС, следующих сотрудников Учреждения:
………………………………………
Ответственный за помещения в своей деятельности руководствоваться «Положением об организации режима безопасности помещений, в которых размещены объекты информатизации, подключаемых к ГИС РИАМС».
7. Утвердить следующие эксплуатационные документы ОИ:
- Технический паспорт - ОИ «Типовое АРМ ГИС РИАМС ___________________»
- Журнал учета материальных учета машинных носителей информации ограниченного доступа;
- Журнал учета используемых криптосредств, эксплуатационной и технической документации к ним, ключевых документов;
- Журнал учета лиц, допущенных к средствам криптографической защиты информации (форма);
- Журнал учета мероприятий по обеспечению контроля состояния защиты информации на ОИ, подключаемых к ГИС РИАМС.
Ведение и поддержание в актуальном состоянии эксплуатационной документации на ОИ ГИС РИАМС возложить на администратора информационной безопасности ОИ.
8. На автоматизированных рабочих местах ОИ, подключаемых к ГИС РИАМС выполнить организационно-технические мероприятия по защите информации в соответствии с Техническими условиями по подключению типовых объектов (сегментов, АРМ) к ГИС РИАМС в защищенном режиме.
9. Провести мероприятия по контролю реализации мер по защите информации в сегменте РИАМС в Учреждения и оценки соответствия сегмента РИАМС Учреждения установленным в РИАМС правилам безопасности информации.
10. Утвердить План мероприятий по обеспечению контроля состояния обеспечения безопасности информации на ОИ, подключаемых к ГИСРИАМС.
11. Предоставить в управление здравоохранения области следующие документы:
- копию настоящего приказа;
- копии организационно-распорядительных документов по защите информации;
- копии листов ознакомления пользователей с организационно-распорядительными документами;
- копии технических паспортов ОИ;
- копии материалов проверки по п. 9.
12. Контроль за исполнением настоящего приказа оставляю за собой.
Руководитель __________
Приложение Д
Реализация технических мер защиты информации
при подключении АРМ и сегментов ЛВС к ГИС РИАМС
Рекомендуется исключить использование ОС MicrosoftWindowsXP, ввиду окончания технической поддержки разработчиком данной ОС и, как следствие, прекращения выпуска обновлений для блокирования уязвимостей нулевого дня.
Для реализации технических мер защиты на АРМ должны быть установлены и настроены следующие сертифицированные средства защиты информации:
СрЗИ от несанкционированного доступа (НСД) ПК DallasLock 8.0-K с модулем межсетевого экранирования и средством обнаружения вторжений;
Средство антивирусной защиты (САВЗ) программный комплекс (ПК) KasperskyEndpointSecurity 10 для Windows(или аналог, имеющий сертифицированный комплект по требованиям безопасности информации);
Средство криптографической защиты информации с функцией межсетевого экранирования (СКЗИ/МЭ) ПК Vipnet Client 3.2 (или более поздняя сертифицированная версия).
Средство доверенной загрузки (СДЗ) DallasLock.
СрЗИ должны быть настроены в соответствии с необходимостью обеспечения реализации технических мер защиты информации, предусмотренных для СЗИ ГИС РИАМС.
Установка и настройка СрЗИ НСД DallasLock 8.0-K с модулем межсетевого экранирования и средства обнаружения вторжений должна обеспечивать:
Идентификацию и аутентификацию пользователей информационной системы;
идентификацию и аутентификацию устройств, применяемых в информационной системе;
определение администратора (суперадминистратора), ответственного за создание, присвоение и уничтожение идентификаторов пользователей и устройств;
присвоение идентификатора пользователю или устройству; предотвращение повторного использования идентификатора пользователя или устройства в течение установленного периода времени;
установление характеристик пароля (назначение минимальной сложности пароля с определяемыми требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов, минимального количества измененных символов при создании новых паролей, назначение минимального и максимального времени действия пароля);
управление доступом субъектов доступа к объектам доступа на основе идентификационной информации субъекта и для каждого объекта доступа – списка, содержащего набор субъектов доступа (групп субъектов) и ассоциированных с ними типов доступа;
разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИС, в соответствии с их должностными обязанностями (функциями), и санкционирование доступа к объектам доступа в соответствии с разделением полномочий (ролей);
назначение прав и привилегий пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование ИС, минимально необходимых для выполнения ими своих должностных обязанностей (функций), и санкционирование доступа к объектам доступа в соответствии с минимально необходимыми правами и привилегиями;
блокирование устройства, с которого предпринимаются попытки доступа, или учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в информационную систему;
предоставление доступа к машинным носителям информации только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функций) путем разрешения дискреционного и мандатного доступа к этим носителям;
контроль использования интерфейсов ввода (вывода) информации на машинные носители информации;
уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания;
сбор, запись и хранение информации о событиях безопасности;
обнаружение (предотвращение) вторжений (компьютерных атак), направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;
обновление базы решающих правил модуля системы обнаружения вторжений;
контроль целостности программного обеспечения информационной системы, включая программное обеспечение средств защиты информации.
Установка и настройкаСАВЗ ПКKasperskyEndpointSecurity 10 дляWindowsили его аналога должна обеспечивать:
обнаружение компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации;
проведение периодических проверок компонентов ИС (автоматизированных рабочих мест, серверов, других средств вычислительной техники) на наличие вредоносных компьютерных программ (вирусов);
проверку в масштабе времени, близком к реальному, объектов (файлов) из внешних источников (съемных машинных носителей информации, сетевых подключений, в том числе к сетям общего пользования, и других внешних источников) при загрузке, открытии или исполнении таких файлов;
оповещение администраторов безопасности в масштабе времени, близком к реальному, об обнаружении вредоносных компьютерных программ (вирусов);
определение и выполнение действий по реагированию на обнаружение в информационной системе объектов, подвергшихся заражению вредоносными компьютерными программами (вирусами);
-
получение уведомлений о необходимости обновлений и непосредственном обновлении базы данных признаков вредоносных компьютерных программ (вирусов);
получение из доверенных источников и установку обновлений базы данных признаков вредоносных компьютерных программ (вирусов);
контроль целостности обновлений базы данных признаков вредоносных компьютерных программ (вирусов).
обнаружение и реагирование на поступление незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию ИС (защита от спама).
Установка и настройка СКЗИ/МЭ ПК Vipnet Client 3.2 должна обеспечивать:
Предоставление доступа к серверу ГИС РИАМС по шифрованному VPN-каналу связи (ГОСТ 28147-89);
-
предоставление доступа к ГИС только авторизованным (уполномоченным) пользователям;
исключение удаленного доступа к АРМ ГИС РИАМС через сети связи общего пользования;
настройку правил межсетевого экрана для входящих подключений по принципу «запрещено все, что однозначно не разрешено»;
защиту персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны.
Установка и настройка СДЗ DallasLock должна обеспечивать выполнение следующих мер защиты информации:
разрешение действий пользователям до прохождения ими процедур идентификации и аутентификации и запрет действий пользователям, не включенных в перечень разрешенных действий, до прохождения ими процедур идентификации и аутентификации;
разрешение администраторубезопасности действий в обход установленных процедур идентификации и аутентификации, необходимых только для восстановления функционирования АРМ ГИС РИАМС в случае сбоев в работе или выходе из строя отдельных технических средств (устройств);
исключение несанкционированного доступа к программным и техническим ресурсам средства вычислительной техники на этапе его загрузки, блокировка попытки несанкционированной загрузки нештатной ОС, контроль доступа пользователей к процессу загрузки ОС, контроль целостностизагружаемой операционной системы и состава компонентов аппаратного обеспечения ПК.
|
