Политика информационной безопасности. Глобальная политика

Вид материала

Документы

Содержание Политика информационной безопасности.Интернет. Область действия ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.Управление программным обеспечением. Область действия

Подобный материал:

• Политика информационной безопасности (финансовые организации), 860.58kb.
• Д. С. Кулябов > Стандарты информационной безопасности, 1244.5kb.
• Экзаменационные вопросы по курсу «политология», 36.79kb.
• Политика информационной безопасности в банке, 224.59kb.
• "Политика информационной безопасности деканата сфргуитп", 41.99kb.
• Виртуальное место администратора безопасности информации в автоматизированных системах, 130.69kb.
• 1 Политика и ее роль в жизни общества, 315.83kb.
• Европейская политика соседства Европейская политика соседства, 876.66kb.
• Инструментов маркетинга, 130.06kb.
• Программа вступительного испытания по предмету «Современная экономика и экономическая, 121.62kb.

Политика информационной безопасности.
Интернет.

1. Термины
   

1. Институт – ГБОУ ДПО НГИУВ Минздравсоцразвития России
   
2. Интернет – в данном тексте подразумевается доступ к сети Интернет, предоставляемый институтом своим сотрудникам
   
3. Пользователь Интернет – сотрудник института, имеющий доступ к сети Интернет.
   

2. ВВЕДЕНИЕ
   

1. Институт предоставляет услуги доступа к сети Интернет своим работникам, как инструмент для более эффективного выполнения своих функциональных обязанностей.
   
2. Правильное использование Интернета важно по следующим причинам:
   
   1. Пропускная способность сети и ресурсы: использование Интернет не для служебных целей приносит реальные убытки институту.
      
   2. Судебные разбирательства и/или отрицательный имидж института: неправильное использование Сети Интернет может повлечь различные судебные разбирательства или спровоцировать ухудшение общего имиджа института среди его партнеров
      
   3. Использование служебного времени в личных целях: использование сети Интернет в личных целях снижает производительность труда работника и приносит реальные убытки институту.
      
3. Цель данной политики – определение основных правил использования сети Интернет.
   

3. ОБЛАСТЬ ДЕЙСТВИЯ
   

1. Данная политика распространяется на сотрудников института, которые имеют доступ к сети Интернет.
   

4. ПОЛИТИКА
   

1. Институт предоставляет доступ к сети Интернет только тем сотрудникам, кому он необходим для выполнения функциональных обязанностей согласно должностной инструкции.
   
2. Доступ с сервису Интернет определяется п.3.8. политики пользователя.
   
3. Запрещается использовать Интернет для доступа, создания, отображения или передачи дискредитирующей кого-либо информации, непристойного или вызывающего содержания, которая может быть воспринята, как преследование или умаление расы, цвета кожи, национальности, пола, сексуальной ориентации, возраста, религиозных или политических предпочтений.
   
4. Запрещается посещать сайты порнографического и развлекательного характера.
   
5. Институт контролирует обращение к сайтам, содержащим информацию, перечисленную в пункте 4.4., и может без предупреждения закрывать к ним доступ. Если пользователь обнаружил, что он случайно попал на данные сайты, следует немедленно прекратить к ним доступ и сообщить адрес сайта администратору сервиса доступа к сети Интернет для внесения данного сайта в список блокируемых.
   
6. Любое полученное из сети Интернет программное обеспечение или файлы становятся собственностью института, если это не нарушает чужих прав на интеллектуальную собственность или условий распространения программного обеспечения.
   
7. Пользователям запрещается использовать сеть Интернет для скачивания и распространения нелицензированного программного обеспечения или любых других данных, распространение которых запрещено законом.
   
8. Пользователям запрещается преднамеренное распространение компьютерных вирусов, сетевых червей или другого злонамеренного кода.
   
9. Пользователям запрещается сознательно нарушать или мешать работе любых компьютерных систем или сетей, обходить любую систему, предназначенную для защиты информации, отнесенной к коммерческой тайне.
   
10. Запрещается использовать корпоративный доступ к сети Интернет для любой деятельности с целью получения личной материальной выгоды.
    
11. Запрещается использовать название института, своей должности и служебных обязанностей, адреса корпоративной электронной почты при общении
    через сеть Интернет (чаты, группы новостей, форумы и т.д.) или создании учетных записей на сайтах Интернет, за исключением сотрудников, имеющих право представлять институт в средствах массовой информации.
    
12. Запрещается распространять информацию, отнесенную к коммерческой тайне или содержащую персональные данные сотрудников института, на общественных серверах в сети Интернет и в локальной сети института.
    
13. Запрещается использование сети Интернет для получения программного обеспечения или любой другой информации развлекательного характера, игр, социальных сетей, а также игр через сеть Интернет.
    

5. КОНТРОЛЬ
   

1. Контроль за использованием ресурсов сети Интернет от имени института осуществляет ответственный за информационную безопасность в лице заведующего отделом ИТ и администратор сервиса Интернет, в лице системного администратора.
   
2. Институт имеет право контролировать использование ресурсов сети Интернет, включая, но не ограничиваясь, списком посещаемых пользователями сайтов.
   
3. Пользователи не могут рассчитывать на конфиденциальность для института передаваемой через сеть Интернет информации.
   

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Управление программным обеспечением.

1. ТЕРМИНЫ И НОРМАТИВНЫЕ ССЫЛКИ
   

1. В настоящем документе применены термины и использованы нормативные ссылки на следующие стандарты:
   

ГОСТ ИСО/МЭК ТО 177799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью»

2. ВВЕДЕНИЕ
   

1. ПО (программное обеспечение) обеспечивает выполнение для института информационных функций, ради которых оно было приобретено.
   
2. Цель данной политики – формирование требований соблюдения лицензионных соглашений и запрещение на использование неавторизированного (контрафактного) программного обеспечения. Определение требований контроля над использованием бесплатного ПО.
   

3. ОБЛАСТЬ ДЕЙСТВИЯ
   

1. Область действия данной политики распространяется на всех пользователей института, сотрудников, врачей-курсантов, интернов и ординаторов.
   

4. ПОЛИТИКА
   

1. Набор и конфигурация программного обеспечения рабочих станций, установка программного обеспечения осуществляется только сотрудниками отдела информационных технологий, и определяется в соответствии с действующими политиками безопасности, а также ролями и полномочиями пользователей.
   
2. Изменение лицензионного набора программного обеспечения, соответствующего роли пользователя, осуществляется администраторами по заявке пользователя, согласованной с начальником подразделения пользователя или ответственным за развитие ИТ инфраструктуры.
   
3. Все программное обеспечение идентифицируется в реестре разрешенного программного обеспечения.
   
4. К использованию в информационной системе института допускается только программное обеспечение, внесенное в реестр разрешенного программного обеспечения.
   
5. Реестр программного обеспечения содержит лицензионное программное обеспечение и бесплатное ПО, прошедшее проверку на отсутствие вредоносного кода осуществляется службой, ответственной за информационную безопасность. Проверку ПО осуществляют сотрудники отдела информационных технологий. Требований на формат данных реестра не накладывается.
   
6. Реестр программного обеспечения может быть изменен по решению ответственного за развитие ИТ инфраструктуры о приобретении и использовании нового программного обеспечения и после проверки на отсутствие вредоносного кода для бесплатного ПО. Ответственным от имени института выступает заведующий отделом информационных технологий.
   
7. Заявка на изменение реестра разрешенного бесплатного ПО оформляется на ответственного за ИТ инфраструктуру. Ограничений на использование бесплатного ПО не существует. Заявка на изменение разрешенного программного обеспечения содержит: полное наименование программного обеспечения и его производителя, описание функциональной направленности программного обеспечения, обоснование для использования программного обеспечения, ссылку на ресурс Интернет, где размещено программное обеспечение и подробная информация о нем.
   
8. Служба, ответственная за поддержку ИТ инфраструктуры института (зав.отделом ИТ, системный администратор, сетевой администратор) рассматривает заявку, проводит тестирование по необходимости и утверждает у ответственного за информационную безопасность.
   
9. В случае внесения в реестр программного обеспечения, свободно распространяемого в сети Интернет, дистрибутив ПО публикуется на файловых серверах информационной системы института.
   
10. Заявка на изменение реестра разрешенного лицензионного ПО оформляется на ответственного за ИТ инфраструктуру, в лице заведующего отделом информационных технологий. Заявка на изменение разрешенного программного обеспечения содержит: полное наименование программного обеспечения и его производителя, описание функциональной направленности программного обеспечения, обоснование использования программного обеспечения. Служба, ответственная за поддержку ИТ инфраструктуры (отдел ИТ), при возможности приобретения, приобретает ПО, устанавливает ПО и осуществляет контроль за использованием лицензий.
    
    1. Несанкционированное изменение конфигурации лицензионного программного обеспечения пользователями запрещено.
       
11. Ограничений на использование бесплатного ПО не накладывается. Ответственность за установку бесплатного ПО несут специалисты отдела ИТ, ответственность за работу данного типа ПО несут сами пользователи.
    
12. Периодически, но не реже одного раза в год, служба, ответственная за ведение реестра разрешенного ПО (служба ответственная за ИТ поддержку), выполняет проверку на соответствие установленного ПО на компьютеры института, внесенного в реестр, согласно графика проведения профилактического осмотра.
    

5. КОНТРОЛЬ
   

1. Контроль от имени института за исполнением данной политики безопасности выполняет ответственный за информационную безопасность института в лице заведующего отделом информационных технологий.