Политика информационной безопасности. Глобальная политика

Вид материала

Документы

Содержание Термины, сокращения и нормативные ссылки Область действия

Подобный материал:

• Политика информационной безопасности (финансовые организации), 860.58kb.
• Д. С. Кулябов > Стандарты информационной безопасности, 1244.5kb.
• Экзаменационные вопросы по курсу «политология», 36.79kb.
• Политика информационной безопасности в банке, 224.59kb.
• "Политика информационной безопасности деканата сфргуитп", 41.99kb.
• Виртуальное место администратора безопасности информации в автоматизированных системах, 130.69kb.
• 1 Политика и ее роль в жизни общества, 315.83kb.
• Европейская политика соседства Европейская политика соседства, 876.66kb.
• Инструментов маркетинга, 130.06kb.
• Программа вступительного испытания по предмету «Современная экономика и экономическая, 121.62kb.

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Антивирусная защита.

1. Термины, сокращения и нормативные ссылки
   

1. АВЗ – антивирусная защита.
   
2. Антивирусная защита – комплекс правовых, организационных и технических мер по защите информационных активов института от воздействия вредоносных программ.
   
3. Антивирусное ПО – программное обеспечение, предназначенное для защиты от вредоносных программ посредством обнаружения зараженных программных модулей и системных областей, распознания и блокировки вирусных сигнатур, а также для восстановления исходного состояния зараженных объектов.
   
4. Вирус (компьютерный) – вредоносная программа, способная создавать свои копии или другие вредоносные программы и внедрять их в файлы, системные области компьютера, распространяться через компьютерные сети, а также осуществлять другие деструктивные действия.
   
5. Система АВЗ – совокупность органов и/или исполнителей, используемые ими программное обеспечение, техника, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по АВЗ.
   
6. В настоящем документе применены также термины и использованы ссылки на следующие стандарты:
   

ГОСТ Р ИСО/МЭК ТО 13335-2 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»

ГОСТ Р ИСО/МЭК ТО 13335-4 – 2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер»

ГОСТ Р ИСО/МЭК ТО 13335-5 – 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети»

ГОСТ Р ИСО/МЭК ТО 177799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью»

2. ВВЕДЕНИЕ
   

Целью данной политики безопасности является:

1. Определение основных принципов построения системы защиты информационных активов ГБОУ ДПО НГИУВ Минздравсоцразвития России от угроз, связанных с воздействием вредоносных программ на элементы информационной инфраструктуры.
   
2. Определение основных мер АВЗ и областей их внедрения для обеспечения выполнения Федерального законодательства, требования и рекомендаций национальных и международных стандартов в области информационной безопасности.
   

3. ОБЛАСТЬ ДЕЙСТВИЯ
   

К области применения требований данной политики относятся:

1. Локальная вычислительная сеть института.
   
2. Переносные автоматизированные рабочие места сотрудников института (ноутбуки, нетбуки, IPad), имеющие доступ и возможность подключения в состав ЛВС института.
   
3. Удаленные автоматизированные рабочие места сотрудников института, использующие информационные ресурсы ЛВС института.
   
4. Отдельные автономные автоматизированные рабочие места, не имеющие физического подключения к ЛВС института.
   
5. Руководство, сотрудники института, в том числе интерны и ординаторы и врачи-курсанты, имеющие доступ к вышеуказанным техническим средствам и системам.
   

4. ОТВЕТСТВЕННОСТЬ
   

1. Ответственность за соблюдение данной политики возлагается на всех сотрудников института, в том числе интернов и ординаторов, а также на всех врачей-курсантов, использующих программно-технические средства института на основании соответствующих соглашений. Категорически запрещается удалять или отключать установленные средства антивирусной защиты.
   
2. Указанные лица несут ответственность за ущерб, причиненный ГБОУ ДПО НГИУВ Минздравсоцразвития России вследствие нарушения ими установленных требований в области антивирусной защиты, в полном объеме Федерального законодательства.
   

5. ПОЛИТИКА
   

1. Антивирусная защита строится на трех уровнях АВЗ.
   

Первый уровень антивирусной защиты – уровень защиты сети Интернет – шлюза доступа (HTTP, FTP трафика).

Второй уровень антивирусной защиты – уровень защиты почтовых систем (SMTP/POP3 трафика).

Третий уровень антивирусной защиты – уровень защиты файловых серверов и рабочих станций.

2. Ответственными за инфраструктуру института в области информационных технологий (зав. отдела информационных технологий, системный администратор) определяется стандартный состав корпоративного антивирусного программного обеспечения. Установка иного антивирусного программного обеспечения не допускается.
   
3. Антивирусное программное обеспечение должно быть установлено, настроено и активировано на всех программно-технических средствах, имеющих доступ к информационным активам института, до начала их использования или подключения к информационным ресурсам института.
   
4. Все возможные каналы поступления вредоносного программного обеспечения в информационно-технологическую инфраструктуру института должны быть определены, проанализированы и защищены средствами антивирусной защиты.
   
5. Контролю на предмет обнаружения вредоносных программ должна подвергаться вся информация, создаваема и обрабатываемая программно-техническими средствами института, а также принимаемая (передаваемая) посредством сменных носителей информации и средствами телекоммуникаций.
   
6. С целью эффективной борьбы с новыми видами зловредного программного обеспечения и уменьшения накладных расходов на администрирование должно выполняться централизованное, регулярное обновление всех средств антивирусной защиты, используемых для защиты информационных систем института.
   
7. Для эффективной реализации АВЗ института, необходимо:
   
   1. унифицировать антивирусное программное обеспечение с возможностью централизованного управления
      
   2. постоянное, своевременное обновление антивирусных баз и программных компонентов
      

Реализацию данного пункта политики безопасности осуществляет системный администратор, контроль за исполнением обеспечивает заведующий отделом ИТ.

8. Любые информационные системы, используемые в ЛВС института или подключаемые к ней как локально, так и удаленно, в ходе эксплуатации должны подвергаться непрерывному антивирусному мониторингу и сканированию. К таковым системам относятся сервера и рабочие станции ЛВС института, а также мобильные и отдельные автономные автоматизированные рабочие места руководства, сотрудников института и врачей-курсантов, имеющие доступ к информационным активам института.
   

6. КОНТРОЛЬ
   

1. Контроль от имени института за исполнением данной политики безопасности возлагается на заведующего отделом информационных технологий ГБОУ ДПО НГИУВ Минздравсоцразвития России, выполняющим ответственность за информационную безопасность института.