ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Комунальний заклад Львівської обласної ради
«Самбірський фаховий медичний коледж»
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
ДАТА ОСТАНЬОЇ РЕДАКЦІЇ
4.05.2023
ДОКУМЕНТ ЗАТВЕРДЖЕНО
_________________ Любомир КОВАЛЬЧУК
1. ВВЕДЕННЯ
1.1 Загальні положення
Ця політика інформаційної безпеки визначає основні засади забезпечення належного рівня інформаційної безпеки Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж» (Самбірський фаховий медичний коледж), далі - Політика або скорочено ПІБ. ПІБ служить центральним програмним документом з інформаційної безпеки, з яким повинні бути ознайомлені всі працівники Самбірського фахового медичного коледжу, підрядники (постачальники послуг), і визначає дії, застереження, заборони, яких повинні дотримуватися всі користувачі інформаційних та цифрових активів Самбірського фахового медичного коледжу. Політика роздруковується та затверджується керівником коледжу та зберігається у відповідального за інформаційну безпеку Самбірського фахового медичного коледжу.
Належний рівень інформаційної безпеки, це такий стан фізичного, інформаційного середовища та середовища користувачів інформаційних та цифрових активів Самбірського фахового медичного коледжу, який гарантує конфіденційність, доступність, цілісність інформації та спостережність і контрольованість систем/підсистем, в яких ця інформація циркулює.
Належний рівень інформаційної безпеки досягається за рахунок вмілого застосування комплексу програмних/технічних засобів та організаційних заходів, спрямованих на забезпечення захищеності даних від зловмисного використання.
Вимоги та обмеження ПІБ, застосовуються до мережевої інфраструктури, баз даних, носіїв інформації, засобів шифрування, друкованих документів, мульти-медіа файлів, засобів бездротового зв'язку, телекомунікаційних систем, аудіо повідомлень та будь-яких інших засобів, що використовуються для передачі, обробки та зберігання інформації у всіх апаратних, програмних та інших інформаційних та цифрових системах коледжу. Цієї політики повинні дотримуватися всі штатні та тимчасові працівники в усіх місцях (на робочому місці, в будівлі коледжу чи працюючи віддалено), а також підрядники - постачальники послуг, які працюють з Самбірським фаховим медичним коледжем.
1.2 Глосарій
Загальні терміни та абревіатури, які використовуються в цьому документі.
Актив - матеріальні та нематеріальні об’єкти або інформація, що мають цінність для коледжу.
Брандмауер - спеціальне обладнання або програмне забезпечення, що працює на комп'ютері, яке дозволяє або відмовляє в проходженні трафіку через нього, на основі набору правил.
ВІБ - відповідальний за інформаційну безпеку, призначена особа, яка відповідає за впровадження та дотримання Політики інформаційної безпеки в закладі.
Вірус - шкідливе програмне забезпечення, здатне відтворювати сама себе і зазвичай здатне завдати великої шкоди файлам або іншим програмам на комп'ютері, який воно атакує.
Доступність інформації - властивість, яка гарантує те, що забезпечується своєчасний доступ авторизованих осіб та процесів до інформації, а також відсутні простої в процесі її обробки, тобто коли інформація знаходиться у вигляді, необхідному користувачеві, в місці, необхідному користувачеві, і у той час, коли вона йому необхідна. У випадку втрати інформації існує можливість своєчасного її відновлення.
Зовнішні носії інформації - компакт-диски, DVD-диски, дискети, флешки, USB, флеш-накопичувачі, касети та інші.
ІБ - Інформаційна безпека, це процес, який забезпечує збереження визначених Політикою безпеки властивостей інформації та спрямований на запобігання несанкціонованим діям в інформаційній системі, що включає сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи інформаційної системи.
ІС - Інформаційна система, організаційно-технічна система, у якій реалізується технологія обробки інформації з використанням технічних і програмних засобів.
ІТ - Інформаційна технологія.
Керівник - керівник закладу освіти.
Конфіденційність інформації - властивість, яка гарантує те, що доступ до інформації можуть одержати тільки авторизовані особи або процеси.
Користувач - Будь-яка особа зі складу персоналу коледжу, уповноважена на доступ до певного інформаційного ресурсу.
Користувачі з можливостями запиту (лише для читання) - особи, яким на основі прав доступу заборонено додавати, видаляти або змінювати записи в базі даних та інших доступних їм масивах інформації. Їх системний доступ обмежується лише зчитуванням інформації.
Користувачі з можливостями редагування/оновлення - особи, яким дозволено на основі прав доступу додавати, видаляти або змінювати записи в базах даних та інших масивах інформації коледжу.
Локальна мережа - комп'ютерна мережа коледжу.
ПІБ - Політика інформаційної безпеки, це центральний, програмний документ, який визначає основні засади забезпечення належного рівня інформаційної безпеки закладу.
Персонал - всі працівники коледжу, які використовують інформаційні ресурси закладу, комп'ютерне, телекомунікаційне і офісне обладнання відповідно до своїх посадових обов’язків.
ПК - персональний комп’ютер.
Привілейовані користувачі - системні адміністратори та інші особи, які конкретно ідентифіковані та мають санкціонований керівництвом доступ до певних баз даних та масивів інформації.
РГІБ - робоча група з інформаційної безпеки, колективний керівний орган системи управління інформаційною безпекою коледжу.
Спостережність системи - властивість, що дозволяє фіксувати діяльність користувачів і процесів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки або забезпечення відповідальності за певні дії.
СУІБ - Система управління інформаційною безпекою, це комплекс організаційних, програмних, технічних і фізичних заходів, спрямованих на управління ризиками, що пов'язані з використанням у коледжу інформації та інформаційних технологій.
Третя сторона - фізична чи юридична особа, яка перебуває у будь-яких договірних відносинах з коледжу та є стороною таких відносин.
Цілісність інформації - властивість, яка гарантує те, що інформація не містить помилок, є актуальною, вичерпною, будь-які зміни інформації здійснюються авторизованими особами чи процесами.
Шифрування - процес перетворення інформації, використовуючи алгоритм, щоб зробити її нечитабельною для будь-кого, крім тих, хто має авторизовану «потребу знати».
VLAN - Віртуальна локальна мережа - локальна мережа, яка використовується для сегментації мережевого трафіку з метою адміністрування та безпеки.
VPN - Віртуальна приватна мережа - забезпечує безпечну передачу даних та доступ через загальнодоступні мережі.
Інші терміни, що вживаються у цій Політиці, застосовуються в значеннях, визначених чинним законодавством України.
1.3 Застосовані положення
Нижче наведено перелік нормативних та регулюючих законів, актів, стандартів на основі яких розроблено цей документ.
1. Закон України «Про основні засади забезпечення кібербезпеки України»;
2. Закон України «Про інформацію»;
3. Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»;
4. Закон України «Про електронні документи та електронний документообіг»;
5. Постанова КМУ №518 від 19.06.2019 «Про затвердження Загальних вимог до кіберзахисту об'єктів критичної інфраструктури»;
6. ISO/IEC27000:2019 - Інформаційні технології - Методи і засоби забезпечення безпеки - Системи управління інформаційною безпекою - Загальні відомості і словник;
7. ISO/IEC 27001:2013 - Інформаційні технології - Методи захисту - Системи управління інформаційною безпекою - Вимоги;
8. ISO/IEC 27002:2013/COR 2:2015 - Інформаційні технології - Методи захисту - Звід рекомендованих правил для управління інформаційною безпекою;
9. ISO/IEC 27003:2017 - Інформаційні технології - Методи безпеки - Системи управління інформаційною безпекою - Керівництво;
10. ISO/IEC 27004:2016 - Інформаційні технології - Методи безпеки - Управління інформаційною безпекою - Моніторинг, вимір, аналіз і оцінка;
11. ISO/IEC 27005:2018 - Інформаційні технології - Методи безпеки - Управління ризиками інформаційної безпеки;
12. ISO/IEC 15408-1:2009 - Загальні критерії оцінки захищеності інформаційних технологій;
13. ISO/IEC TS 27008:2019 - Методи безпеки - Вказівки для оцінки засобів контролю інформаційної безпеки;
14. ISO 27032 - Інформаційні технології. Методи захисту;
15. ISO 27035 - Управління інцидентами.
1.4 Відповідальний за інформаційну безпеку
Відповідальний за інформаційну безпеку (ВІБ) закладу - призначена особа зі складу персоналу закладу, який/яка відповідає за дотримання належного рівня інформаційної безпеки коледжу, контролює всю поточну діяльність, пов'язану з розробкою, впровадженням та підтримкою політики інформаційної безпеки закладу, зберігає актуальний затверджений примірник ПІБ у себя на робочому місці та при необхідності надає до нього доступ. Чинним ВІБ є: Ковальчук Олег Володимирович
2 ОБОВ’ЯЗКИ ПЕРСОНАЛУ
2.1 Вимоги до персоналу
Першою лінією захисту в системі управління інформаційною безпекою є персонал або користувачі. Користувачі несуть відповідальність за безпеку всіх даних, які можуть надходити до них у будь-якому форматі.
Для ідентифікації персоналу запроваджуються ідентифікуючі беджі, які персонал повинен носити на собі та які легко переглядати іншім. Це допоможе підтримувати фізичну безпеку закладу та активів коледжу. Підрядникам, представники третьої сторони, які також можуть знаходитися в будівлі коледжу, надаються беджі іншого ніж у персоналу кольору. Персонал та інші відвідувачі, які можуть перебувати в коледжу, не повинні мати беджів та не можуть знаходитися у службових приміщеннях та приміщеннях з обмеженим доступом.
Обов'язком всього персоналу закладу є вжиття необхідних заходів для забезпечення фізичної безпеки активів коледжу. Якщо будь хто з персоналу бачить невстановлену особу в службовому приміщені чи приміщені з обмеженим доступом, він/вона повинен вжити всіх можливих заходів для виведення такої особи із зазначеного приміщення та проінформувати про такий випадок ВІБ або охорону коледжу при наявності служби охорони. Усі відвідувачі закладу повинні заходити до коледжу через стійку реєстрації та знаходитись тільки в тих приміщеннях, які дозволені для перебування відвідувачів.
Захист робочих станцій. Всі робочі станції (ПК), які знаходяться в закладі не повинні залишати коледжу без відповідного дозволу керівника чи ВІБ. Всім новим користувачам надається перший інструктаж на робочому місці щодо правил використання та зберігання робочих станцій закладу. Більшість ПК коледжу містять конфіденційні дані, кадрового чи фінансового характеру, тому слід дотримуватися максимальної обережності, щоб ці дані не були скомпрометовані. При використані робочих станцій за межами коледжу користувач повинен вжити всіх можливих заходів із забезпечення безпечного зберігання та використання ПК, інформації та програмного забезпечення, що на ньому знаходяться.
На робочих станціях, серверному та іншому цифровому обладнанні дозволено використання тільки ліцензійного програмного забезпечення та/або спеціального програмного забезпечення, яке надається авторизованим виробником разом з апаратним забезпеченням.
ПК без нагляду - робочі станції, які залишаються без нагляду повинні бути заблоковані користувачем при виході з робочої зони (робочого місця). Це правило нагадується усьому персоналу під час навчань з інформаційної безпеки. Також на робочих станціях повинно застосовуватись налаштування автоматичного блокування екрана після десяти (10) хвилин бездіяльності. Персоналу заборонено відключати чи змінювати це налаштування без відповідного дозволу ВІБ.
Робочі станції, ноутбуки, телефоні апарати інше цифрове обладнання, яке знаходиться в зоні дозволеної для знаходження відвідувачів, повинні бути облаштовані спеціальними замками та дротом прикріплення для фіксації та унеможливлення їх виносу з місця розташування.
Домашнє використання ПК. Дозволяється підключати до локальної мережі коледжу тільки таке комп'ютерне обладнання та програмне забезпечення, яке дозволено використовувати. На ПК, що дистанційно підключається до локальної мережі коледжу може бути встановлено лише програмне забезпечення, схвалене для використання. Персональні комп'ютери, що надаються для дистанційної роботи, повинні використовуватися виключно в службових цілях. Персонал і підрядники повинні бути ознайомлені і розуміти перелік заборонених видів діяльності, який викладений у п.2.2. нижче. Самовільне переналаштування або зміни конфігурації не допускаються на комп'ютерах, що використовуються для дистанційної роботи персоналом.
Збереження права власності - Усі програмні засоби та документація, що встановлюється на робочих станціях або надаються персоналу чи підрядниками для забезпечення діяльності коледжу, є власністю закладу, якщо це не передбачено іншим договором. Виключенням можуть бути випадки використання на робочих станціях програмного забезпечення придбаного за власний кошт працівником закладу.
2.2 Заборонена діяльність
Персоналу забороняється здійснювати наступні дії. Перелік не є вичерпним. На інші заборонені види діяльності є посилання в інших місцях цього документа.
· Дії що призводять до збою інформаційної системи. Навмисні дії що призводять до збою інформаційної системи категорично заборонені. Користувачі можуть не усвідомлювати, що вони спричинили збій системи, але якщо буде виявлено, що збій стався в результаті дії користувача, повторні дії користувача, що призводять до збою інформаційної системи можуть розглядатися як навмисний вчинок.
· Спроба несанкціонованого доступу до інформаційного ресурсу або спроба обійти функцію безпеки. Це включає в себе запуск програм для злому паролів або програм для сканування локальної мережі з метою виявлення вразливостей, а також спроби обійти заборону на доступ до інформаційних ресурсів.
· Завантаження або спроба завантаження комп'ютерних вірусів, троянів, шпигунських програм або інших видів шкідливого програмного забезпечення в інформаційну систему. Винятком може бути перевірка стійкості системи уповноваженим персоналом або представниками третьої сторони, що авторизовано перевіряє СУІБ.
· Несанкціонований перегляд інформації. Умисний, несанкціонований доступ або перегляд інформації, до якої не надавалися права на доступ чи перегляд відповідно до правила «надання мінімально необхідного доступу» для виконання службових завдань. Цілеспрямована спроба перегляду або доступу до інформації, до якої не було надано доступу за визначеною в ПІБ процедурою, суворо заборонено.
· Використання особистого або недозволеного програмного забезпечення на робочих станціях. Використання особистого або недозволеного програмного забезпечення на робочих станціях коледжу заборонено. Все програмне забезпечення, встановлене на робочих станціях, має бути затверджене та дозволене до використання.
· Використання неліцензійного програмного забезпечення. Все програмне забезпечення, яке встановлене на робочих станціях повинно бути ліцензійним та/або дозволеним до використання.
· Використовувати дозволене програмне забезпечення не належним чином. Порушувати або намагатися порушити умови використання або ліцензійну угоду будь-якого програмного продукту, що дозволено до використання на робочих станціях, суворо заборонено.
· Використовувати інформаційні системи не належним чином. Брати участь у будь-якій діяльності з будь-якою метою, яка є незаконною або суперечить чинній політиці інформаційної безпеки, суворо заборонено.
2.3 Користування Інтернетом та електронною поштою
Електронні засоби комунікації та Інтернет є дієвими інструментами підвищення продуктивності, Ділове використання електронних комунікацій заохочується. Однак усі системи електронного зв'язку та всі повідомлення, що генеруються на обладнанні, що належить Комунальному закладу Львівської обласної ради «Самбірський фаховий медичний коледж», або обробляються на пристроях, що належать закладу, вважаються власністю Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж», а не власністю окремих користувачів. Отже, ця політика поширюється на весь персонал і підрядників (третю сторону) та охоплює всі електронні комунікації, включаючи, але не обмежуючись ними, телефони, електронну пошту, голосову пошту, обмін миттєвими повідомленнями, Інтернет, факс, персональні комп'ютери та сервери.
Надані персоналу інформаційні ресурси, такі як робочі станції або ноутбуки, комп'ютерні системи, мережі, електронна пошта, програмне забезпечення, а також доступ до Інтернет, призначені для використання в ділових цілях. Однак особисте використання допустимо до тих пір, поки це:
· не відволікає від виконання роботи або функціональних обов’язків,
· не зменшує продуктивність персоналу,
· не перешкоджає діяльності закладу,
· не порушує нічого з наступного:
1) Незаконна діяльність - використання інформаційних ресурсів Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж» для досягання незаконних цілей або для здійснення правопорушень, суворо заборонено.
2) Порушення авторських прав - це включає скачування, тиражування та використання піратського програмного забезпечення, музики, книг, відео та аудіо файлів, а також незаконне дублювання та/або розповсюдження інформації та іншої інтелектуальної власності, яка перебуває під авторським правом.
3) Комерційне використання - використання інформаційних ресурсів Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж» для отримання особистої вигоди суворо заборонено.
4) Політична діяльність - Вся політична діяльність суворо заборонена в приміщеннях та з
5) використанням інформаційних ресурсів Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж». Заклад заохочує своїх працівників
6) голосувати та активно брати участь у виборчому процесі, але ці заходи не повинні виконуватися з використанням активів та ресурсів Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж».
7) Переслідування та дискримінація - забороняється використання комп'ютерів, електронної пошти, голосової пошти, обміну миттєвими повідомленнями, текстових повідомлень та Інтернету способами, які є образливими для інших або шкідливими та аморальними. Наприклад, показ або передача зображень, повідомлень і відео сексуального характеру суворо заборонені. Інші приклади неправильного використання включають, але не обмежуються ними, етнічні образи, расові коментарі, або все, що може бути розтлумачено як переслідування, дискримінація, зневажливе ставлення, вираз погроз або прояв неповаги до інших.
8) Небажана електронна пошта - усі повідомлення зроблені з використанням ІТ-ресурсів Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж» повинні бути адресними та доцільними. Розповсюдження «небажаної» пошти, наприклад, листів щастя, реклами або несанкціонованих клопотань, забороняється. Якщо користувачі отримали будь-яке з перерахованого вище повідомлень, необхідно їх видалити та нікому не пересилати.
Заклад зберігає за собою право здійснювати моніторинг змісту будь-якого електронного повідомлення та комунікації, що генерується або передається з використанням інформаційних активів Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж». Це робиться з метою належного обслуговування та захисту інформаційно- телекомунікаційного обладнання, мереж та ефективного використання наявних ресурсів. Моніторинг може здійснюватися постійно або час від часу. Для цього можуть застосовуватися різні методи моніторингу. Наприклад, для аудиту або аналізу витрат на зв’язок, можуть відстежуватися набрані номери зі службових телефонів, тривалість дзвінків, кількість дзвінків на/з конкретного телефону, час доби і т.д. Інші приклади, коли електронні комунікації можуть контролюватися, включають, але не обмежуються, дослідженнями та тестуваннями спрямованими на оптимізацію ІТ-ресурсів, усунення технічних проблем та виявлення закономірностей зловживань або незаконної діяльності.
Заклад залишає за собою право на власний розсуд переглядати файли або електронні повідомлення будь-якого працівника в обсязі, необхідному для забезпечення ефективного використання всіх службових електронних носіїв і засобів комунікації відповідно до всіх чинних законів і нормативних актів, а також цієї Політики інформаційної безпеки.
2.4 Доступ до Інтернет
Доступ в Інтернет надається тільки тим співробітникам, хто його потребує для виконання службових обов’язків. Доступ до Інтернет це ресурс, за який коледж витрачає кошти тому його використання потребує виконання наступних вимог. Персонал, що має доступ до Інтернету, не повинен використовувати цей доступ для розваг, прослуховування музики чи радіо, прослуховування он-лайн аудіо книг та перегляду фільмів та інших медійних файлів тощо. Забороняється використовувати доступ до Інтернет для особистої комерційної діяльності чи вирішення своїх побутових питань. Треба розуміти, що використання цього ресурсу не цільовим шляхом збільшую витрати закладу, а також створює додаткові загрози інформаційної безпеки.
Персонал повинен розуміти, що індивідуальне використання Інтернету контролюється, і якщо виявиться, що співробітник витрачає надмірну кількість часу, витрачає великі обсяги трафіку для особистого чи нецільового користування, або відвідує ресурси, які небезпечні з точки зору забезпечення інформаційної безпеки, то до нього/неї будуть вжиті дисциплінарні заходи.
Ресурси які заборонено відвідувати, такі як ігрові інтернет-сайти, торенти, файлообміники, порносайти, чати та онлайн програми для обміну музикою, тощо, автоматично блокуються. Перелік заборонених ресурсів постійно контролюється і оновлюється в міру необхідності. Будь-який співробітник, який цілеспрямовано, неодноразово буде намагатися відвідати заборонені ресурси в Інтернет, буде притягнутий до дисциплінарної відповідальності і може бути звільнений.
В закладі здійснюються спеціальні запобіжні заходи для блокування зовнішнього доступу через Інтернет до інформаційних ресурсів закладу, не призначених для публічного доступу, а також для захисту конфіденційної інформації при її передачі через Інтернет.
Відповідальний за інформаційну безпеку контролює виконання заходів із безпечного використання Інтернету, а саме:
· контролює щоб доступ до Інтернет з робочих місць здійснювався через встановлені точки доступу до Інтернет;
· контролює, щоб тільки публічна та відкрита інформація про коледж була доступна в Інтернеті;
· контролює, щоб користувачі не мали прав встановлювати або завантажувати будь-яке програмне забезпечення (додатки, медіа файли, заставки тощо) з Інтернет. Якщо у користувачів є потреба в додатковому програмному забезпеченні, користувач повинен отримати дозвіл;
· використання мережі на робочому місці для отримання особистого прибутку заборонено;
· конфіденційні або персональні дані, включаючи номери кредитних карток, номери телефонів, паролі для входу в систему та інші дані, які можуть бути використані для доступу до конфіденційної або персональної інформації повинні передаватися через Інтернет у зашифрованому виді.
· використання програмного забезпечення для шифрування та ключів шифрування повинно контролюватися відповідальним за ІБ. Самостійне використання шифрувального програмного забезпечення та ключів шифрування, без погодження з відповідальним за ІБ, заборонено, і може призвести до дисциплінарного покарання.
2.5 Повідомлення про несправності
Користувач повинні інформувати ІТ підрозділ про випадки, коли програмне забезпечення робочої станції не функціонує належним чином. Несправне програмне забезпечення становить ризик для інформаційної безпеки. Якщо користувач, або керівник користувача, підозрює зараження робочої станції вірусом, слід негайно вжити наступних заходів:
· припинити використання комп'ютера;
· не запускати на виконання ніяких команд, включаючи команду збереження даних;
· не закривати жодного з вікон або програм комп'ютера;
· не вимикати комп'ютер або периферійний пристрій на самому екрані;
· по можливості фізично відключити комп'ютер від мереж живлення та локальної мережі;
· повідомити про ураження робочої станції ІТ-підрозділ та відповідального за ІБ, вказавши ознаки незвичайної поведінки комп'ютера (блокування екрану, виникнення несподіваного доступ до системного диска, незвичайна реакція на команди тощо) і час, коли це було вперше помічено;
· повідомити про будь-які зміни у використанні апаратного чи програмного забезпечення, які передували несправності;
· не намагатися самостійно видалити підозрілий файл!
Відповідальний з ІБ повинен вжити заходи для усуненням несправності, а також повідомити керівнику закладу про результати цих дій з рекомендаціями щодо подальших кроків для запобігання подібних випадків у майбутньому.
2.6 Повідомлення про інциденти безпеки
Весь персонал, який є користувачами інформаційних ресурсів закладу або підрядники, які мають доступ до цифрових активів Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж» зобов'язані повідомляти відповідального з ІБ про виявлені інциденти інформаційної безпеки. Користувач - це будь-яка особа, уповноважена на доступ до інформаційного ресурсу закладу. Користувачі несуть відповідальність за повсякденну практичну безпеку ресурсу, яким вони користуються. Користувачі повинні повідомляти про всі інциденти безпеки або порушення політики безпеки негайно своєму безпосередньому керівнику або відповідальному з інформаційної безпеки. При неможливості негайного повідомлення про інцидент безпеки вищевказаним особам, користувач повинен без зволікань проінформувати про інцидент будь-якого члена Робочої групи з інформаційної безпеки закладу, які вказані вище в цьому документі.
Реагування на повідомлення про інциденти інформаційної безпеки повинно бути якомога швидким. Кожен член Робочої групи з інформаційної безпеки повинен негайно вжити заходи відповідно до Плану реагування на інцидент інформаційної безпеки. Кожен інцидент повинен бути проаналізованим, щоб визначити, чи потрібно внесення необхідних змін в існуючу систему управління інформаційною безпекою Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж». Усі виявлені інциденти реєструються в журналі інцидентів інформаційної безпеки. Обов'язком відповідального за ІБ є організація та проведення навчання, щодо будь-яких змін у плані реагування на інциденти, які були зроблені в результаті розслідування інциденту.
Внутрішні порушення інформаційної безпеки повинні оперативно розслідуватися. У разі підозри на порушення законодавства, відповідальний з ІБ повинен звернутися до правоохоронних органів.
2.7 Передача конфіденційної інформації
Передача конфіденційної інформації може здійснюватися за допомогою засобів електронного зв’язку, на цифрових носіях чи у паперовому виді. Конфіденційна інформація передається від однієї особи іншій під час ведення службових справ. Особа, яка отримала конфіденційну інформацію повинна забезпечити її зберігання відповідно до умов, встановлених особою, що надала таку інформацію. Весь персонал повинен розуміти про чутливий характер персональних даних, що отримує заклад в ході свого функціонування, і утримуватись від розголошення таких даних. Будь-яке цілеспрямоване оприлюднення конфіденційних даних, до яких працівник має доступ, є порушенням, яке призведе до покарання, а також може призвести до судового позову стосовно порушника.
2.8 Передача даних та програмного забезпечення
Власне програмне забезпечення, яке не дозволене до використання в закладі не може використовуватися на робочих станціях чи комп'ютерах або в локальній мережі Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж». Якщо існує потреба в конкретному програмному забезпеченні, потрібно надати запит на дозвіл своєму безпосередньому керівнику. Користувачі не повинні використовувати програмне забезпечення, що встановлене на робочих станціях, або на особистих комп'ютерах чи комп'ютерному обладнанні при дистанційній роботі без відповідного дозволу.
Дані, що є власністю закладу включаючи інформацію про персонал, інформацію про ІТ-системи, фінансову інформацію або дані про людські ресурси, не повинні розміщуватися на будь-якому комп'ютері, який не є власністю коледжу, без письмової згоди відповідного керівника. Коледжу повинен захищати всі дані та програмне забезпечення, які йому належать, тому повинен контролювати системи, в яких такі дані містяться. У випадку, якщо відповідний керівник отримає від персоналу запит на переміщення даних з робочої станції на особистий ПК, керівник повинен визначитися чи є в цьому службова потреба та уразі прийняття рішення на дозвіл переміщення, повідомити відповідального з інформаційної безпеки про таку передачу даних.
Треба розуміти, що заклад обмежений у можливостях захисту даних на персональних ПК тому дозвіл на переміщення треба надавити у разі гострої службової необхідності. Заклад не може бути впевнений у засобах, які можуть бути застосовані для захисту конфіденційної чи чутливої інформації на персональних ПК, звідси необхідність цього обмеження.
2.9 Шифрування електронної пошти та даних
Для забезпечення конфіденціальної та захисту конфіденційної інформації при передачі в мережі Інтернет дозволяється використання відповідного програмного забезпечення (наприклад програми WinZip), яке дозволяє персоналу обмінюватися електронною поштою з віддаленими користувачами, які теж мають відповідне програмне забезпечення для шифрування/дешифрування. Обидва користувачі обмінюються таємними паролями (у випадку використання WinZip) або відкритими ключами, які можуть бути використані для дешифрування повідомлення. Співробітник, який бажає використати відповідне програмне забезпечення повинен звернутися до відповідального за ТБ для отримання дозволу на використання відповідного програмного забезпечення.
При передачі конфіденційної інформації електронною поштою та розумінні, що є ризик потрапляння такої інформації до сторонніх осіб чи отримання доступу до неї сторонніми особами необхідно застосовувати програмне забезпечення шифрування/дешифрування (наприклад WinZip).
Вся персональна інформація та дані яка зберігаються на робочих станціях повинні бути в зашифрованому вигляді. До такої інформації відноситься будь-яка інформація, яка може бути використана для ідентифікації особи, а саме:
· Імена та прізвища
· Адреси
· Дані геолокації
· Всі елементи дат, безпосередньо пов'язаних з особою
· Телефонні номери, факсимільні номери
· Адреси електронної пошти
· Номери рахунків, номери сертифікатів/ліцензій
· Ідентифікатори пристроїв і серійні номери
· URL-адреси та ІР-адреси
· Біометричні ідентифікатори
· Фотографічні зображення обличчя.
3. УПРАВЛІННЯ ДОСТУПОМ
3.1 Ідентифікація користувачів
Кожний користувач повинен мати унікальний ідентифікатор (обліковий запис, логін) та пароль для входу. Система контролю доступу повинна ідентифікувати кожного користувача і запобігати доступу та використанню інформаційних ресурсів закладу неавторизованим користувачем. Вимоги безпеки для ідентифікації користувача включають:
· кожному користувачеві присвоюється унікальний ідентифікатор;
· користувачі несуть відповідальність за використання та неправомірне використання свого індивідуального ідентифікатору.
Усі ідентифікатори входу користувачів перевіряються щонайменше раз на рік і всі неактивні ідентифікатори блокуються. Відділ кадрів коледжу сповіщає відповідального за ІБ або відповідного фахівця ІТ-відділу про звільнення працівника або припинення співробітництва з персоналом підрядника. При отримані такого сповіщення неактивні ідентифікатори блокуються.
Ідентифікатор входу блокується після максимум трьох (3) невдалих спроб входу в систему. Для відновлення доступу в цьому випадку потрібне призначення нового тимчасового паролю Адміністратором.
Користувачі, які бажають отримати доступ до систем або мереж коледжу, повинні заповнити відповідну Форму Доступу (Додаток 1). Ця форма повинна бути підписана безпосереднім керівником та санкціонована керівником закладу або відповідальним за інформаційну безпеку.
3.2 Встановлення паролів
Ідентифікатори користувачів і паролі потрібні для того, щоб отримати доступ до мереж і робочих станцій. До всіх паролів застосовується встановлена цім документом Парольна політика, для забезпечення стійкості паролів. Це означає, що всі паролі повинні відповідати вимогам, які призначені для того, щоб пароль було важко підібрати чи зламати. Користувачі зобов'язані створювати та користуватися паролями, щоб отримати доступ до відповідних мереж, ІТ-ресурсів чи робочої станції. При призначені паролю користувачеві буде автоматично запропоновано вручну призначити пароль, відповідно до таких вимог:
Довжина пароля - Пароль повинен складатися з мінімуму восьми (8) символів.
Вимоги до складу - Пароль повинен містити комбінацію символів латинського алфавіту верхнього та нижнього регістру, числових символів та спеціальних символів.
Частота зміни - Пароль повинен бути змінений кожні 30 днів. Скомпрометований пароль повинен бути змінений негайно.
Повторне використання - Попередні шість (6) паролі не можуть бути використані повторно.
Обмеження на обмін паролями - Паролі не повинні передаватися іншим працівникам, записуватися на папері або зберігатися на робочій станції і повинні зберігатися у таємниці.
Обмеження на відображення та зберігання паролів - Паролі маскуються на екрані робочої станції при введені, не друкуються і не включаються до електроних журналів чи звітів. Паролі зберігаються у зашифрованому виді.
3.3 Угода про конфіденційність
Користувачі інформаційних ресурсів Закладу при працевлаштуванні підписують угоду про конфіденційність (Додаток 2). Угода повинна містити наступне твердження:
Я розумію, що будь-яке несанкціоноване використання або розголошення конфіденційної інформації, може призвести до покарання, відповідно до чинного законодавства та політики інформаційної безпеки.
Тимчасово влаштовані працівники та підрядники, які не підписували угоди про конфіденційність, підписують такий документ при отримані доступу до інформаційних ресурсів коледжу.
Угода про конфіденційність переглядається, коли відбуваються зміни умов трудової діяльності, зокрема при звільнені працівника.
3.4 Контроль доступу
Інформаційні ресурси закладу захищаються за рахунок використання системи контролю доступу. Система контролю доступу включає внутрішні засоби захисту (паролі, шифрування, таблиці контролю доступу, налаштування інтерфейсів користувача тощо), так і зовнішні (пристрої захисту портів, брандмауери, автентифікацію на основі хоста тощо).
Правила доступу до ресурсів встановлюються власником ресурсу. Доступ надається тільки шляхом заповнення форми запиту на доступ (Додаток 1). Ця форма затверджується керівником чи відповідальним з ІБ.
При надані доступу використовується принцип мінімально необхідного доступу до ресурсу користувача для виконання ним функціональних завдань. Доступ користувача до відповідного ресурсу відбувається тільки після затвердження форми запиту на доступ керівником чи відповідальним з інформаційної безпеки та тільки до того ресурсу до якого був наданий запит на допуск.
В закладі можуть використовуватись випливаючи на екрані робочих станцій електронні попередження про несанкціоноване використання ресурсу та про відповідальність порушника.
При використанні програмного забезпечення управління безпекою кінцевих пристроїв повинна підтримуватися онлайн авторизації при використані додатків. Кожне підключення підлягає процесу авторизації (введенню логіна та пароля).
3.5 Припинення права доступу
Якщо працівник змінює посаду його безпосередній керівник ініціює перегляд прав доступу та заповнює Форму запиту на доступ (Додаток 1). У Формі вказується дата набрання чинності зміни посади та назва посади, щоб ІТ-відділ міг змінити права доступ відповідно до принципу мінімально необхідного доступу до ресурсів. Протягом обмеженого періоду працівнику, який змінює посаду, можуть зберігатися попередні права доступу, а також додаватися нові права доступу, необхідні для виконання нових посадових обов'язків.
Перегляд прав доступу персоналу повинен проводитися не рідше ніж раз на рік. Відповідальний за інформаційну безпеку повинен сприяти перегляду прав доступу користувачів, щоб переконатися, що весь персонал має мінімально необхідні права доступ для ефективного виконання своїх робочих функцій. Виявлені в ході перегляду надлишкові права доступу повинні припинятися.
3.6 Припинення дії облікового запису користувача
При звільненні працівника, його безпосередній керівник повинен завчасно ініціювати процедуру припинення доступу, вказавши «Видалити доступ» у Формі запиту на доступ (Додаток 1) та дату останнього робочого дня працівника, щоб його обліковий запис користувача міг бути налаштований на закінчення терміну дії у день звільненя. Безпосередній керівник контролює своєчасну здачу працівником, що звільняється відповідних пристрої доступу, які йому/їй надавалися. Обліковий запис та доступ працівника блокується по завершені останнього робочого дня.
Не рідше одного разу на рік, відповідальний з інформаційної безпеки повинен ініціювати перегляд списку активних облікових записів користувачів для оцінки прав доступу відповідно до принципу надання мінімально необхідного доступу до ІТ-ресурсів для виконання функціональних завдань. Керівники відділів закладу повинні переглянути списки доступу стосовно своїх підлеглих та протягом п'яти (5) робочих днів надати уточнюючи дані щодо прав доступу. Якщо буде виявлені надлишкові права доступу вони повинні бути припинені. Про необхідність припинення надлишкових прав доступу або блокуванні активних акаунтів звільнених працівників керівники відділів закладу без зволікань повідомляють ІТ-відділ та надає оновлену Форму запиту на доступ (Додаток 1).
4. ПІДКЛЮЧЕННЯ ДО МЕРЕЖІ
4.1 З’єднання та підключення
Доступ до інформаційних ресурсів закладу через модеми, інші комунікаційні пристрої або відповідне програмне забезпечення підлягає авторизації та автентифікації системою контролю доступу. Зовнішній виклик чи комутація на внутрішній номер (кінцевий пристрій) без проходження через систему контролю доступу заборонений.
Системи, що дозволяють проходження зовнішнього виклику на кінцевий пристрій, в тому числі сервер повинні гарантувати додаткову безпеку на рівні операційної системи та додатків. Такі системи повинні також мати можливість контролювати рівень активності, щоб гарантувати, що використання кінцевих пристроїв відбувається належним чином та з виконанням заходів безпеки.
Права доступу до з'єднання через комутатори надаються тільки на вимогу керівника відділу з поданням Форми доступу (Додаток 1) та затверджуються керівником закладу чи відповідальним з ІБ.
Підключення до зовнішніх мереж відбувається через інтернет-провайдера. Якщо користувач має конкретну потребу зв'язатися із зовнішнім комп'ютером або мережею через прямий канал зв’язку він повинен отримати дозвіл від керівника закладу або відповідального з ІБ. При прийняті позитивного рішення відповідальний з інформаційної безпеки повинен вжити необхідних заходів із забезпечення належного рівня безпеки нового каналу зв’язку.
4.2 Телекомунікаційне обладнання
До телекомунікаційного обладнання та засобів відноситься наступне:
· телефонні лінії та обладнання
· факсимільні лінії та обладнання
· телефоні навушники та гарнітура
· телефони типу програмного забезпечення, встановлені на робочих станціях
· службові мобільні телефони
· програмне забезпечення для маршрутизації викликів
· обладнання для адміністрування телефонної системи
· мережеві лінії
· міжміські лінії
· місцеві телефонні лінії.
Цей перелік не є вичерпним.
4.3 Постійні з’єднання
Забезпечення безпеки телекомунікаційних з’єднань є дуже важливим завданням. Інформаційна безпека закладу може бути поставлена під загрозу, якщо не забезпечити безпечне користування засобами зв’язку. Необхідно забезпечити аналіз ризиків при підключені до зовнішніх мереж та регулярно аналізувати ризики постійно діючих каналів з’єднання. Аналіз ризиків повинен враховувати тип необхідного доступу, цінність інформації що передається, заходи безпеки, що застосовуються третьою стороною, а також наслідки для системи управління безпекою закладу. Відповідальний за інформаційну безпеку повинен бути залучені до процесів проектування та затвердження каналів підключення до зовнішніх мереж, а також укладення договорів з третьою стороною на отримання послуг з телекомунікаційного забезпечення закладу.
4.4 Договір на телекомунікаційні послуги
При укладанні договору на отримання телекомунікаційних послуг закладом необхідно враховувати наступні вимоги до постачальника таких послуг:
· відповідні розділи політики інформаційної безпеки надавача послуг були переглянуті та приведені у відповідність з вимогами політики інформаційної безпеки закладу;
· відповідні вимоги враховані та застосовуються;
· проведена оцінка ризиків пов’язаних з виконанням додаткових зобов'язань надавача послуг;
· включене право на аудит виконання договірних зобов’язань;
· домовленість стосовно повідомлення про інциденти інформаційної безпеки включені в угоду;
· наданий опис кожної послуги, яка буде доступна;
· доступ до ресурсів закладу надавачем послуг повинен бути лише на мінімально необхідному рівні, достатньому для виконання договірних зобов'язань;
· детальний список користувачів з боку надавача послуг, які будуть мати доступ до мережі закладу, повинен бути доступний для аудиту;
· дата і час, коли послуга повинна бути доступна, завчасно узгоджені;
· процедури щодо захисту інформаційних ресурсів узгоджені заздалегідь, а спосіб аудиту затверджений обома сторонами;
· спосіб моніторингу і припинення доступу користувачів визначений;
· обмеження на копіювання та розкриття інформації включені;
· обов'язки щодо встановлення та технічного обслуговування апаратного та програмного забезпечення зрозумілі та заздалегідь узгоджені;
· заходи щодо забезпечення повернення або знищення програмного забезпечення та інформації після закінчення дії договору визначені та прописані;
· заходи фізичного захисту, при необхідності, також включені в угоду;
· спосіб надання доступу та авторизація користувачів, повинен бути встановлений до того, як користувачам буде наданий доступ;
· створені механізми для забезпечення дотримання заходів безпеки сторонами угоди;
· детальний перелік заходів безпеки, які будуть вжиті сторонами угоди, повинен бути розглянутий та погоджений до укладення угоди.
4.5 Брандмауер
Налаштування брандмауера повинно контролюватися відповідальним з ТБ. Якщо брандмауер знаходиться та налаштовується стороною, яка надає ІТ-послуги закладу то ця сторона повинна надати повну інформацію про актуальні налаштування брандмауера відповідальному за інформаційну безпеку та активно співпрацювати з ним/нею у питаннях подальшого його використання та змін налаштувань.
5. АНТИВІРУСНИЙ ЗАХИСТ
5.1 Встановлення та оновлення антивірусного ПЗ
Антивірусне програмне забезпечення встановлюється на всіх робочих станціях, кінцевому обладнанні і серверах закладу та періодично (щодня) оновлюється. За своєчасне оновлення антивірусного програмного забезпечення відповідає ІТ-підрозділ (системний адміністратор).
Конфігурації - антивірусне програмне забезпечення, яке на даний час використовується, є Назва антивірусного програмного забезпечення. Оновлення надходять безпосередньо від Назва виробника антивірусного ПЗ. Оновлення відбувається щодня у період з 01:00 до 02:00.
Конфігурація віддаленого розгортання - за допомогою автоматизованої процедури встановлення та оновлення антивірусне ПЗ може бути встановлене та оновлене на окремих віддалених робочих станціях та серверному обладнані за потреби.
Моніторинг/Звітність - В закладі ведеться контроль оновлення та застосування антивірусного програмного забезпечення. ІТ-підрозділ (системний адміністратор) несе відповідальність за надання звітів про перевірку спрацювання антивірусного програмного забезпечення при інцидентах інформаційної безпеки.
5.2 Перевірка нового ПЗ
На внутрішніх комп'ютерах і мережах закладу використовується лише дозволене до використання програмне забезпечення. Встановлення нового програмного забезпечення потребує отримання дозволу керівника закладу або відповідального з інформаційної безпеки. Перелік дозволеного до використання програмного забезпечення наведений у Додатку 3. Перед встановленням нове програмне забезпечення проходить перевірку ІТ-підрозділом з метою забезпечення сумісності зі встановленим на даний момент програмним забезпеченням і конфігурацією мережі. Крім того, ІТ- підрозділ повинен перевірити нове програмне за допомогою наявного антивірусного програмного забезпечення на наявність вірусів та інших шкідливих програм перед установкою. Це стосується як програмного забезпечення, що закуповується так і умовно-безкоштовного програмного забезпечення.
Хоча умовно-безкоштовне програмне забезпечення може бути корисним, використання такого програмного забезпечення має бути попередньо схвалено відповідальним з інформаційної безпеки. Оскільки програмне забезпечення часто завантажуються з Інтернет (загально доступного джерела) та може мати віруси та інше шкідливе програмне забезпечення, перед його встановленням на комп'ютерах закладу необхідно вжити спеціальних запобіжних заходів. Ці запобіжні заходи включають визначення того, що програмне забезпечення є сумісним з існуючим ПЗ, не перешкоджає або не пошкоджує апаратне забезпечення, програмне забезпечення або інформацію, а також що програмне забезпечення не містить вірусів та інших шкідливих програм.
Усе файли і програми, які були передані в електронному вигляді на комп'ютери або мережу закладу з іншого місця, повинні бути перевірені на віруси відразу після отримання. Перевірку та сканування на віруси здійснює ІТ-підрозділ за допомогою наявного антивірусного програмного забезпечення.
Кожна дискета, компакт-диск, DVD і USB-пристрій є потенційним джерелом комп'ютерного вірусу. Тому такі зовнішні носії інформації повинні бути про скановані на наявність вірусів та іншого шкідливого програмного забезпечення, перш ніж інформація з них буде скопійована на комп'ютери закладу.
Забороняється завантажувати комп'ютери з дискети, компакт-диска, DVD або USB-пристрою, отриманого із зовнішнього джерела. Користувачі завжди повинні видаляти будь-яку зовнішні носії з комп'ютера, коли він не використовується. Це робиться для того, щоб дискета, компакт- диск, DVD або ^В-пристрій не знаходилися в комп'ютері під час його включення.
5.3 Збереження прав власності
Усі програмні продукти та документація, що надаються працівникам або підрядникам є власністю закладу, якщо на них не поширюється дія іншого договору. Програмні засоби, застосунки або документація які розробляються за замовленням закладу є також його власністю. Розробники таких програмних продуктів та документації повинні підписати заяву, в якій визнається право власності закладу на відповідний програмний продукт та документацію. Програмне забезпечення, придбане працівником за власний рахунок, залишається власністю працівника, який придбав це програмне забезпечення.
6. КРИПТОГРАФІЧНИЙ ЗАХИСТ
1. Визначення
Криптографічний захист інформації за допомогою шифрування даних є найефективнішим способом забезпечення безпеки даних Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж». Шифрування це процес перетворення інформації, використовуючи криптографічний алгоритм, щоб зробити її нечитабельною для будь- кого, крім тих, хто має авторизовану «потребу знати». Щоб отримати доступ до зашифрованої інформації, необхідно мати доступ до секретного ключа або паролю, що дозволяє його розшифрувати. В закладі використовуються наступні засоби криптографічного захисту: інфраструктура відкритих ключів з електронним цифровим підписом; програма -архіватор WinZip; передача файлів за допомогою протоколу FTP; захищений веб-інтерфейс SSL.
Криптографічний захист інформації, що передається обробляється та зберігається в медичних інформаційних системах забезпечується провайдером такої системи.
2. Ключі шифрування
Ключ шифрування визначає особливе перетворення простого тексту у зашифрований, або навпаки під час дешифрування (розшифрування). Якщо це обґрунтовано аналізом ризиків інформаційної безпеки, конфіденційні дані та файли, що містять конфіденційну інформацію, повинні бути зашифровані перед передачею через мережу загального користування чи Інтернет. Коли зашифровані дані передаються між закладом та сторонньою організацією необхідно розробити та запровадити взаємну процедуру обміну та безпечного управління ключами. У разі виникнення інциденту, пов’язаного з криптографічним захистом інформації, його вирішенням повинен займатися відповідальний з інформаційної безпеки закладу. Заклад може використовувати декілька методів безпечної передачі даних за допомогою криптографічного захисту.
3. Використання інфраструктури відкритих ключів
Користувач, який має потребу у безпечній передачі інформації електронною поштою конкретному ідентифікованому зовнішньому користувачеві, може скористатися інфраструктурою відкритих ключів та електронним цифровим підписом (ЕЦП). Порядок використання ЕЦП у закладі повинно бути погоджено з керівником чи відповідальним за інформаційну безпеку.
4. Використання WinZip
Це програмне забезпечення дозволяє персоналу закладу обмінюватися електронною поштою з віддаленими користувачами, які мають відповідне програмне забезпечення для шифрування та дешифрування. Обидва користувачі обмінюються паролем, який використовується як для шифрування, так і для дешифрування/розшифрування кожного повідомлення. Пароль передається отримувачу альтернативним засобом зв'язку, таким як смс, мессенджер або телефоном. Працівник, який має потребу у передачі конфіденційної інформації віддаленому користувачу через Інтернет може запросити дозвіл на використання програми WinZip у відповідального з інформаційної безпеки. При цьому відповідальний з ІБ повинен також отримати пароль до зашифрованого архіву для перевірки інформації, що підлягає передачі чи отримується.
5. Протокол передачі файлів FTP
Користувач може передати файли зі своєї робочої станції на захищені sFTP-сайти за допомогою відповідних заходів безпеки. FTP (англ. File Transfer Protocol) або sFTP (Secure File Transfer Protocol) це стандартний мережевий протокол прикладного рівня призначений для пересилання файлів між клієнтом та сервером в комп'ютерній мережі. Клієнт та сервер створюють окремі канали для передачі даних та обміну командами. Можлива автентифікація клієнтів із використанням логіну та паролю користувача. Порядок FTP-передачі файлів повинен бути погоджений з керівником та відповідальним за інформаційну безпеку..
6. Веб-інтерфейс рівня захищених сокетів (SSL)
Для передачі конфіденційної інформації через веб-інтерфейсі використовується веб-інтерфейс захисту SSL. SSL (англ. Secure Sockets Layer) — криптографічний протокол, який забезпечує встановлення безпечного з'єднання між клієнтом і веб-сервером. Протокол забезпечує конфіденційність обміну даними між клієнтом і сервером, що використовують TCP/IP. Користувач через веб-інтерфейс захисту SSL передає/отримує конфіденційну інформації через веб-сторінку в Інтернеті при наданні/отриманні послуг онлайн. Порядок використання веб- інтерфейсу захисту SSL погоджується з керівником закладу та відповідальним з інформаційної безпеки.
7. ФІЗИЧНА БЕЗПЕКА
Забезпечення фізичної безпеки персоналу полягає у створені безпечних умов на робочому місці та одночасним забезпеченням безпечного зберігання активів закладу. Будівля (комплекс будівель) закладу є дещо унікальним місцем з точки зору прав власності на будівлю або умов договору оренди, території навколо, шляхів під’їзду/виїзду, зовнішнього огородження, входів у приміщення, вимог до пожежної безпеки, систем електроживлення, забезпечення безпечного використання цифрових активів та контролю серверної кімнати. Необхідно постійно покращувати та модернізувати систему забезпечення фізичної безпеки для підвищення захисту своїх активів та медичної інформації. Наступний перелік визначає заходи, які запроваджені для забезпечення фізичної безпеки закладу.
Опис будівлі, місця розташування, прилеглої території, огородежння, квадратний метраж, система безперебійного живлення, захисту від несанкціонованого проникнення, система відеоспостереження, охорона сигналізація та система пожежної безпеки.
· Вхід до будівлі в неробочий час зачинений та контролюється охоронною сигналізацією. Спроба входу без введення коду безпеки для зняття з охоронної сигналізації призводить до негайного повідомлення до охоронної служби.
· Тільки конкретним працівникам закладу видається код безпеки для входу. Розголошення коду безпеки не працівникам категорично заборонено.
· Код безпеки змінюється на періодичній основі, змінений код відповідні працівники отримують через сповіщення на робочу електрону пошту. Код безпеки обов’язково змінюються при звільненні працівника, який мав доступ до нього.
· Будь-яка невизнана особа, яка перебуває в службових приміщеннях закладу повинна негайно виводитись з службової зони персоналом, що її побачив, та супроводжуватись до зони рецепції.
· Робочі станції, ноутбуки, телефоні апарати інше цифрове обладнання, яке знаходиться в зоні дозволеної для знаходження відвідувачів, повинні бути облаштовані спеціальними замками та дротом для фіксації до встановленого місця розташування, що унеможливлює їх винос або переміщення від встановленого місця розташування.
· До приміщення де знаходиться серверне обладнання вхід заблокований кодовим замком. Тільки обмежене коло посадових осіб мають право доступу до серверного приміщення. Код кодового замку змінюється періодично.
· В приміщені з серверним обладнанням ведеться цілодобове відеоспостереження, воно обладнане автоматизованою системою протипожежного захисту;
· Серверне та мережеве обладнання забезпечене основним та резервним безперебійним живленням.
· На першому поверсі будівлі є датчики детектування руху, які активуються в неробочий час.
· Всі зовнішні вікна будівлі мають датчики розбиття скла, які, якщо скло вікон буде розбите, призведуть до негайного повідомлення до охоронної служби.
· Будівля обладнана камерами відеоспостереження на всіх входах та виходах до будівлі. Всі, особи, які заходять/виходять до/з будівлі фіксуються за принципом 24/7, тобто 24 години на добу 365 днів на рік.
· Протипожежний захист будівлі встановлено відповідно до вимог ДСНС України.
Заклад обладнаний системою безперебійного живлення.
8. ДИСТАНЦІЙНА РОБОТА
В закладі дозволяється та використовується дистанційна робота персоналу при певних, визначених керівництвом обставинах. Вимоги, щодо організації дистанційної роботи застосовуються до всіх працівників і підрядників, які працюють поза межами будівлі (комплексу будівель) закладу.
Хоча дистанційна робота може бути перевагою як для користувачів, так і для організації в цілому, вона представляє нові ризики інформаційної безпеки. Персонал, що працює дистанційно повинен бути захищеним від небезпеки атак шкідливим програмним забезпеченням та несанкціонованого витоку даних з пристроїв, що знаходяться за межами периметру безпеки закладу.
8.1 Загальні вимоги
Користувачі, що працюють віддалено, зобов'язані дотримуватися всіх правил закладу, які встановлені для персоналу та підрядників, а саме:
Потрібно знати: Користувачі, що працюють віддалено мають доступ тільки до тих ресурсів та інформації, які потрібні для виконання функціональних завдань.
Використання пароля: Користувачі, що працюють віддалено повинні дотримуватись вимог щодо встановлення та зміни паролів. Окрім того, вони не розголошують свій пароль і не залишають записів щодо паролю там, де такий запис може побачити член сім'ї або стороння особа.
Навчання: персонал, який працює віддалено, повинен проходити ті самі навчання з інформаційної безпеки, що і персонал що працює на робочих місцях.
Специфічні вимоги: до персоналу, що працює віддалено, можуть бути застосовані додаткові вимоги, які пов’язані зі специфікою виконання функціональних завдань дистанційно.
8.2 Необхідне обладнання
Працівники, допущені до дистанційної роботи, повинні розуміти, що заклад не наддасть все обладнання, необхідне для забезпечення належного захисту інформації, до якої працівник має доступ; однак є певний перелік обладнання який заклад повинен надати:
Заклад надає:
· робочий комп’ютер (ноутбук) зі встановленим антивірусним ПЗ та програмним забезпеченням шифрування даних;
· VPN канал доступу;
· принтер;
· зовнішній носій для резервного копіювання;
· службовий мобільний телефон.
Працівник повинен забезпечити самостійно:
· широкосмуговий канал доступу до Інтернет;
· подрібнювач паперу або можливість іншим способом знищувати паперові носії;
· відокремлене від членів родини робоче місце;
· шафа, що зачиняється або сейф для захисту та зберігання робочого комп’ютера та робочих документів.
8.3 Захист апаратного забезпечення
Захист від вірусів: Користувач, що працює дистанційно, повинен постійно використовувати та оновлювати захист комп’ютера від вірусів та іншого шкідливого програмного забезпечення. Антивірусне програмне забезпечення встановлене на комп'ютерах закладу і налаштоване на періодичне оновлення. Заборонено працювати без оновленого антивірусного програмного забезпечення.
Використання VPN та брандмауера: При дистанційному підключені повинен використовуватись канал зв’язку, який вимагає використання VPN та брандмауера. При відключені VPN та/або брандмауера дистанційну роботу потрібно зупинити.
Шафа або сейф: Використовуйте шафу, що замикається або сейф для безпечного зберігання комп’ютеру та інших пристроїв наданих закладом для дистанційної роботи.
Захист ПК: персональний комп’ютер, що використовується для дистанційної роботи, повинен бути облаштований спеціальним замком для захисту від крадіжки.
Блокування екранів: Незалежно від місця розташування, завжди блокуйте екран, перш ніж відійти від робочої станції. Дані на екрані можуть містити конфіденційну інформацію. Переконайтеся, що функцію автоматичного блокування настроєно на автоматичне ввімкнення після 10 хвилин бездіяльності.
8.4 Безпека даних
Резервне копіювання даних: Встановлена процедура резервного копіювання, яка шифрує дані, та переміщує їх на зовнішній носій. Для резервного копіювання використовується тільки встановлена процедура. Створювати самостійно інші процедури резервного копіювання даних заборонено. Якщо неможливо дотримуватись встановленої процедури резервного копіювання: не має відповідного програмного забезпечення та/або зовнішнього носія, треба звернутися до ІТ- підрозділу закладу. При гострій необхідності та неможливості звернутися до ІТ-підрозділу (наприклад під час відрядження) дозволено використовувати наявні засоби шифрування (архіватор-шифрувальник WinZip) та доступний зовнішній носій. Причому, безпечному зберіганню зовнішнього носія з резервною копією даних треба приділити значну увагу.
Передача даних: Передача даних до закладу вимагає використання затвердженого VPN-з'єднання для забезпечення конфіденційності та цілісності даних, що передаються. Не дозволено обходити встановлену процедуру, а також створювати власний метод передачі даних до закладу.
Доступ до зовнішніх систем (хмар): Якщо є потреба у доступі до зовнішньої ІТ-системи, необхідно зв'язатися зі своїм безпосереднім керівником або відповідальним за інформаційну безпеку. Вони визначать безпечний метод доступу до потрібної зовнішньої системи.
Доступ до інформації що знаходиться в інформаційних системах потребує використання каналу VPN з'єднання.
Електронна пошта: Не дозволено передавати будь-яку конфіденційну інформацію та персональні дані (перелік визначений у п.2.9 цього документу) електронною поштою, якщо вона не зашифрована. При гострій необхідності треба звернутися до свого безпосереднього керівника або відповідального за інформаційну безпеку. Вони визначать безпечний метод передачі конфіденційної інформації та персональних даних електронною поштою.
Підключення через публічний WіFi: необхідно дотримуватися надзвичайної обережності при підключенні до ІТ-систем закладу через публічну точку доступу до Інтернет. Хоча заклад застосовує системи безпеки для захисту даних проте заклад не може забезпечити захист даних у мережевому обладнанні, що знаходиться поза межами закладу.
Захистить дані, якими ви володієте: Потрібно отримувати доступ лише до тієї інформації, яка потрібна для виконання робочого завдання. Регулярно переглядайте дані, які ви зберегли, щоб переконатися, що масив даних, який зберігається знаходиться на мінімально необхідному рівні, а застарілі дані та версії файлів видалені. Зберігайте електронні дані тільки в зашифрованому виді. Якщо на ноутбуку не встановлено відповідне ПЗ для шифрування треба звернутися до ІТ- підрозділу.
Друковані звіти або робочі документи: Ніколи не залишайте паперові документи на робочому столі коли ви залишаєте робоче місце. Всі паперові документи повинні зберігатися у замкненій шафі або сейфі.
Введення даних у відкритому місці: Не виконуйте робочі завдання, які вимагають використання конфіденційної інформації або персональних даних у громадських місцях.
Надсилання даних за межи закладу: Вся передача даних за межі закладу повинна бути пов'язана з виконанням вимог договорів та дотримуватися вимог угод про конфіденційність і нерозголошення конфіденційної інформації. При необхідності передачі інформації стороннім організаціям з якими не укладено договорів та угод на обмін інформацією необхідно отримати письмову згоду безпосереднього керівника.
8.5 Утилізація паперових та зовнішніх носіїв
Паперові документи: Всі паперові документи, які містять конфіденційну інформацію, перед утилізацією потрібно подрібнити. Заборонено викидання не подрібнених паперових документів. Іншій спосіб утилізації - такі документи палити. Персонал, який працює дистанційно повинен мати або подрібнювач паперу або можливість палити паперові документи.
Зовнішні носії: Всі зовнішні носії надані закладом для забезпечення дистанційної роботи повинні бути повернуті до закладу для утилізації.
9. ПОЛІТИКА ЧИСТОГО СТОЛУ/ЕКРАНУ
Одним із засобів контролю за забезпечення інформаційної безпеки є політика чистого столу та чистого екрану, яка знижує ризик несанкціонованого доступу, втрату та пошкодження інформації протягом робочого часу та після його закінчення. Політика чистого столу та чистого екрану визначає методи, пов'язані із забезпеченням того, щоб конфіденційна інформація, як у цифровому, так і у паперовому/фізичному форматі, та активи (наприклад, робочі станції, ноутбуки, стаціонарні телефонні апарати, смартфони, цифрове обладнання та інші) не залишаються без захисту, коли вони не використовуються, чи коли персонал залишає свої робочі місця на короткий час або наприкінці дня. Дотримання політики чистого столу/екрану всього без винятку персоналу дозволить суттєво убезпечити Комунального закладу Львівської обласної ради «Самбірський фаховий медичний коледж» від витоку конфіденційної інформації.
Метою впровадження політики чистого столу та чистого екрану в Комунальному закладі Львівської обласної ради «Самбірський фаховий медичний коледж» є:
· запобігання витоку/втраті конфіденційних даних закладу;
· дотримання правил кібергігієни та розвитку кіберкультури, щодо безпечного та належного поводження з конфіденційною інформацією та її носіями;
· створення та підтримання позитивного іміджу закладу серед персоналу.
Відповідальність
Вимоги цієї політики поширюються на весь персонал закладу. Усі працівники закладу мають бути ознайомлені із її вимогами. До будь-якого працівника закладу, визнаного винним у порушенні цієї політики, може бути застосована дисциплінарна практика, аж до звільнення.
Вимоги
Увесь персонал закладу повинен дотримуватись наступних правил:
· зберігати власні паролі в таємниці, не розголошувати та нікому не повідомляти їх;
· закривати активні сеанси після завершення роботи, якщо їх не можна захистити відповідним блокуючим механізмом, наприклад блокуванням екрану;
· встановити час автоматичного блокування екрану робочої станції 10 хвилин;
· по завершенні сеансу виходити із ІТ-систем та баз даних, до яких протягом сеансу був отриманий доступ (серверів, додатків, VPN - каналів тощо);
· забороняється вести запис паролів (наприклад, на папері, у програмному файлі або в кишеньковому пристрої), за винятком тих випадків, коли запис може зберігатися безпечно, а метод зберігання був затверджений відповідальним за ІБ;
· матеріальні носії конфіденційної інформації повинні замикатися в сейфі або шафі після завершення роботи з ними;
· робочі станції, комп'ютери та засоби зв’язку повинні бути залишені у стані виконаного виходу із системи/вимкнені коли вони перебувають без нагляду;
· цифрове обладнання, що не використовується повинно бути вимкнене або переведене у безпечний режим;
· документи, які містять конфіденційну інформацію, повинні забиратися виконавцем з принтерів негайно;
· наприкінці робочого дня/зміни увесь персонал повинен упорядкувати своє робоче місце та прибрати всі робочі документи в сейф або шафу, що замикається;
· для утилізації конфіденційних документів слід використовувати знищувачі/подрібнювачі паперу;
· після закінчення робочого дня та у разі тривалої відсутності на робочому місці необхідно замикати на замок усі шафи та сейфи де зберігається конфіденційна інформація та робочі документи.
Збереження/знищення інформації
Інформація, є конфіденційною інформацією закладу та потребує дотримання процедур безпечного збереження та утилізації.
Збереження записів - документи, що стосуються використання та розкриття інформації, форми авторизації, договори та угоди, повідомлення про інформаційну практику, відповіді працівнику, який хоче змінити або виправити свою інформацію, заява працівника про незгоду та запис скарг зберігаються протягом періоду у 5 років. Збереження інформації відбувається в шафах, що закриваються, та/або сейфах, та/або в архівних приміщеннях, що зачиняються та під’єднані до охоронної сигналізації.
Знищення - Вся паперова документація, потребує знищення після закінчення терміну зберігання. Знищення документації відбувається встановленим порядком шляхом спалювання.
10. УТИЛІЗАЦІЯ ЗОВНІШНІХ НОСІЇВ ТА КОМП’ЮТЕРІВ
10.1 Утилізація зовнішніх носіїв
Вважається, що всі зовнішні носії, які використовувались персоналом містять конфіденційну інформацію. Відповідно застаріли або зіпсовані зовнішні носії, подальша експлуатація яких вже неможлива, повинні бути утилізовані методом, який гарантує, що не буде втрати даних і що конфіденційність і безпека цих даних не будуть порушені.
Необхідно дотримуватися наступних кроків:
· персонал, який використовує зовнішні носії, зобов'язаний визначити застаріли чи зіпсовані зразків для утилізації;
· заборонено самостійне викидання або утилізація зовнішніх носіїв;
· всі застаріли чи зіпсовані зразки передаються для знищення до відповідального з ІБ.
Відповідальний з ІБ забезпечує знищення зовнішніх носіїв, що підлягають утилізації.
10.2 Утилізація комп’ютерного обладнання
Комп’ютерне обладнання, яке підлягає утилізації, проходить відповідну процедуру, яка складається з видалення усіх даних, затирання усіх міток та конфігурацій та повернення до заводських налаштувань. Відповідальний з інформаційної безпеки забезпечує утилізацію комп’ютерного обладнання відповідно до встановленої процедури.
10.3 Використання надлишкового обладнання
Оскільки старе комп'ютерне обладнання поступово замінюється більш сучасними цифровими системами, воно підлягає інвентаризації та зберіганню. Старе комп'ютерне обладнання може бути використане:
· для запасних частин,
· для аварійної заміни,
· для тестування нового програмного забезпечення,
· для створення та зберігання резервних копій для іншого виробничого обладнання,
· для використання персоналом за межами закладу, в тому числі для забезпечення дистанційної роботи.
11. УПРАВЛІННЯ ЗМІНАМИ
Для того, щоб відстежувати та управляти змінами в мережах, ІТ-системах та на робочих станціях, включаючи встановлення та налаштування нового програмного забезпечення та виправлення вразливостей програмного забезпечення в інформаційних системах, які містять конфіденційну інформацію, запроваджена процедура управління змінами, яка полягає в наступному:
Процедура
1) ІТ-підрозділ або інший призначений працівник, який здійснює оновлення, встановлення, переналаштовує або іншим чином вносить зміни у мережеве та комп’ютерне обладнання, повинен ретельно реєструвати всі зміни в журналі управління змінами.
2) ІТ-підрозділ або працівник, який впроваджує зміну, забезпечує створення всіх необхідних резервних копій програмного забезпечення та даних.
3) Працівник, який впроваджує зміну, також повинен бути ознайомлений з процесом повернення до попередніх налаштувань у тому випадку, якщо зміна викликає збоїв в мережі чи системах і потребує видалення.
В закладі дозволене до використання тільки ліцензійне програмне забезпечення, та дозволене програмне забезпечення (Додаток 3). Оновлення ліцензійного та дозволеного програмного забезпечення проводиться відповідно до рекомендацій розробників цього ПЗ. Персонал повинен здійснювати оновлення програмного забезпечення невідкладно, по мірі отримання/можливості доступу до оновленої версії ПЗ.
12. МОНІТОРІНГ СТАНУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
В закладі запроваджені апаратні, програмні та процедурні механізми, які фіксують та відстежують стан інформаційних систем, що містять конфіденційну та персональну інформацію. Моніторинг стану інформаційної безпеки - це відповідні технологічні та процесуальні дії, які спрямовані на відстеження і фіксацію комп'ютерної та мережевої діяльності з метою визначення, чи сталося порушення інформаційної безпеки. Моніторинг передбачає відстеження та фіксацію зареєстрованих комп'ютерних подій, які стосуються стану операційних систем, програмного забезпечення або діяльності користувачів.
В закладі проводиться моніторинг діяльності користувачів з метою запобігання технологічних збоїв та виявлення потенційних ризиків та вразливостей системи інформаційної безпеки. Відповідно до виявлених збоїв, ризиків та вразливостей в закладі розробляються та запроваджуються відповідні адміністративні, фізичні та технічні заходи забезпечення інформаційної безпеки відповідно до вимог чинного законодавства у сфері кіберзахисту. Процедура моніторингу полягає у наступному:
1. Весь персонал та керівництво ознайомлене з чинною політикою інформаційної безпеки та дотримується її положень при виконанні службових обов’язків.
2. ІТ-підрозділ, або системний адміністратор забезпечують моніторинг та обробку журналів подій на всіх комп'ютерних та цифрових системах, що містять та/або обробляють чи зберігають конфіденційну інформацію та персональні дані. Моніторинг, як мінімум, повинен включати: визначення ідентифікатора користувача, час і дату входу, а також обсяг та характер даних, до яких був отриманий доступ або спроба доступу. Моніторингова інформація (логі) повинна зберігатися на окремому комп'ютері, з метою мінімізації можливості доступу до цієї інформації не авторизованих осіб.
В закладі використовуються відповідні мережеві та хост-системи виявлення вторгнень. Відповідальний з інформаційної безпеки організовує та забезпечує встановлення, обслуговування та оновлення таких систем.
13. АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
В закладі періодично, раз на рік, проводиться аудит стану інформаційної безпеки, який включає, але не обмежується такими заходами як, перевірка облікових записів користувачів та прав доступ до ІТ- систем та мереж, доступ до файлів, перегляд та аналіз інцидентів безпеки, перегляд журналів моніторингу тощо. Аудит може проводитись як відповідним персоналом закладу так і зовнішніми аудиторами. Мета проведення аудиту - мінімізація порушень безпеки та забезпечення інформаційної безпеки закладу на належному рівні. У разі неможливості проведення аудиту стану інформаційної безпеки власними силами та засобами, заклад звертається до авторизованих зовнішніх аудиторів. Процедура аудиту передбачає:
1. Ознайомлення аудиторів з політикою інформаційної безпеки, іншою документацією стосовно ІБ, зокрема планом реагування на інциденти інформаційної безпеки, тощо.
2. ІТ-підрозділ та/або системний адміністратор несуть відповідальність за проведення періодичних оглядів діяльності інформаційних та мережевих систем та повинні мати відповідні технічні навички щодо безпечного застосування операційних систем, програмного забезпечення, додатків, баз даних та мережевого обладнання. ІТ- підрозділ та/або системний адміністратор надає доступ аудиторам до відповідних даних.
3. Відповідальний за ІБ повинен розробити формат звіту щодо результатів аудиту стану інформаційної безпеки та план усунення виявлених недоліків при необхідності. У такому звіті повинні бути вказані: хто проводив аудит, дата і час виконання, а також висновки, щодо стану інформаційної безпеки закладу, виявлені недоліки та вразливості (ризики). До звіту можуть додаватися рекомендації аудиторів щодо підвищення рівня ІБ закладу, усунення вразливостей та мінімізації ризиків.
4. Аудит стану ІБ проводиться щорічно але може проводитися позапланова, якщо є підстави підозрювати порушення, які можуть призвести до тяжких наслідків. При проведенні перегляду журналів подій аудитори повинні перевірити наступне:
· логі подій - стосується вдалих/невдалих спроб входу, при цьому особлива увага приділяється саме невдалим спробам входу, блокуванням облікових записів та несанкціонованим спробам доступу;
· доступ до файлів - вдалі/невдалі спроби доступу до файлів, особлива увага невдалим спробам доступу, несанкціонованому доступу і несанкціонованим спробам створення, зміни або видалення файлів;
· інциденти безпеки - перевіряються записи з журналу виявлення інцидентів безпеки та журналів моніторингу стану систем на предмет аномальних чи підозрілих дій або подій зі шкідливою логікою (наприклад, дій вірусів, хробаків, шкідливих експлойтів), відмовою в обслуговуванні або спробами сканування, тощо;
· облікові записи користувачів - перегляд облікових записів користувачів у всіх системах з метою переконатися, що користувачі не мають надлишкових прав доступу до інформаційних системах, та надлишкових прав поводження з інформацією.
Усі важливі висновки повинні бути відображені у звіті щодо аудиту стану інформаційної безпеки закладу. Особи що проводили аудит передають звіт та перелік рекомендованих заходів відповідальному з інформаційної безпеки для ознайомлення та вживання відповідних заходів. Відповідальний з ІБ при отримані звіту повинен невідкладно вжити всіх належних заходів з приведення стану ІБ до відповідного рівня та усунення виявлених недоліків.
14. ЦІЛІСНІСТЬ ДАНИХ ПЕРСОНАЛУ
Заклад впроваджує та підтримує відповідні організаційні та технологічні заходи для підтвердження того, що дані персоналу інша конфіденційна інформація стосовно персоналу не були змінені або знищені несанкціонованим чином. Метою таких дій є забезпечення цілісності даних персоналу.
Заклад підтримує впровадження автоматизованих систем та програмного забезпечення, в тому числі з використанням штучного інтелекту, для автоматичної перевірки наявності людських помилок при обробці даних персоналу.
Заклад застосовує відповідні мережеві та хост-систем виявлення вторгнень. Відповідальний за Ш організовує встановлення, контролює обслуговування та оновлення таких систем.
Збереження цілісності даних персоналу, що знаходяться в інформаційних системах забезпечується провайдерами таких систем.
Щоб забезпечити цілісність даних при передачі персоналом закладу застосовується шифрування даних що передаються. Tакож для забезпечення цілісності даних персоналу використовується шифрування при зберіганні таких даних.
Заклад забезпечує перевірку можливого дублювання даних у своїх комп'ютерних системах та мережах, щоб запобігти поганій інтеграції даних між різними комп'ютерними системами.
Для запобігання збою TT-систем, які можуть призвести до порушення цілісності даних, заклад забезпечує перевірку своїх інформаційні системи на точність і функціональність, перш ніж почне їх використовувати. TT-системи та мережеве обладнання проходить оновлення при випуску виробниками виправлень та оновлених версій програмного та апаратного забезпечення, які усувають виявлені помилки та недоліки.
Заклад встановлює та регулярно оновлює антивірусне програмне забезпечення на всіх робочих станціях та серверах, щоб своєчасно виявити та запобігти зміні або знищенню даних шкідливим програмним забезпеченням.
15. ПЛАНИ РЕЗЕРВНОГО КОПІЮВАННЯ ТА АВАРІЙНОГО ВІДНОВЛЕННЯ
В закладі впроваджені заходи та процедури реагування на надзвичайні події, які можуть завдати шкоди ІТ-системам та мережам, а також інформації. Для цього розроблений План аварійного відновлення та План резервного копіювання. Заклад періодично (один раз на рік) переглядає цій план з метою аналізу його ефективності та оцінки ризиків для внесення відповідних корегувань.
15.1 План резервного копіювання
Відповідальний з ІБ забезпечує розробку та впровадження плану резервного копіювання даних для створення та підтримки точних копій операційних систем, програмного забезпечення, баз даних, іншої інформації та даних закладу. План передбачає заходи з резервного копіювання даних, зберігання та відновлення даних з резервних копій. Також План повинен передбачати наступні положення:
1. На завершення кожного робочого дня, з понеділка по п'ятницю, додаткова резервна копія всіх серверів, що містять критично важливі дані, повинна бути згенеровано та перенесено до системи зберігання резервного копіювання. У суботу тижнева резервна копія всіх серверів, що містять критично важливі дані, повинна бути створена та перенесена до системи зберігання резервного копіювання. Щотижневі резервні копії зберігаються у захищеному відокремленому від локальної мережі середовищі в зашифрованому виді. Місячна резервна копія створюється в останню суботу поточного місяця та зберігається на зовнішньому носії у зашифрованому виді. Резервні носії, які більше не експлуатуються, утилізуються відповідно до процедури «Утилізація зовнішніх носіїв».
2. Відповідальний за ІБ стежить за зберіганням і своєчасним видаленням резервних копій і забезпечує дотримання всіх належних заходів контролю доступу.
3. Відповідальний за інформаційну безпеку забезпечує щорічне тестування процедури резервного копіювання, щоб переконатися, що резервні копії створені та доступні. Таке тестування документується відповідальним за ІБ та при необхідності надає пропозиції про необхідність вдосконалення процедур резервного копіювання.
15.2 План аварійного відновлення
Відповідальний за ІБ розробляє та регулярно оновлює План аварійного відновлення з метою своєчасного відновлення та/або запобігання будь-яких втрат даних, систем, необхідних для надання допомоги персоналу та забезпечення неперервності критично важливих процесів функціонування закладу. План аварійного відновлення має достатній рівень деталізації та необхідні пояснення, для того, щоб він міг бути виконаний персоналом заходу в разі надзвичайної події. Цій план повинен мати резервну копію, яка зберігається на іншому захищеному майданчику разом з місячною резервною копією критично важливих даних закладу.
План аварійного відновлення повинен містити наступне:
1. Порядок створення та оновлення копій документів щодо результатів інвентаризації інформаційних активів та конфігурації мереж;
2. Паперову копію Плану резервного копіювання;
3. Паперові копії бланків та документів, необхідних для функціонування закладу, здійснення інформаційної допомоги та фінансових розрахунків;
4. Список групи реагування у надзвичайних ситуаціях, члени якої несуть відповідальність за:
· визначення впливу надзвичайної ситуації на заклад;
· визначення безпечного місця розташування закладу;
· порядок відновлення втрачених даних;
· порядок використання аварійних систем протягом часу коли основні інформаційні системи недоступні;
· необхідні заходи для відновлення функціонування закладу.
5. Процедуру реагування на втрату електронних даних, включає, але не обмежуючись, пошуком і завантаженням даних з найбільш актуальної резервної копії.
6. Номери телефонів та/або адреси електронної пошти всіх осіб, з якими потрібно зв'язатися у разі надзвичайної ситуації, у тому числі: членів групи реагування; осіб, які відповідають за зберігання та відновлення резервних даних; постачальників інформаційних систем, а також інший персонал.
7. Група реагування повинна збиратися щорічно, щоб:
· переглянути План аварійного відновлення;
· запланувати проведення навчань стосовно дій у надзвичайних ситуаціях та оцінити результати таких навчань;
· переглянути паперові версії Плану резервного копіювання та Плану аварійного відновлення та зробити у них відповідні зміни.
Відповідальний за ІБ веде протокол засідань групи реагування та надає пропозиції щодо внесення змін до планів резервного копіювання та аварійного відновлення відповідно до результатів аналізу ризиків інформаційної безпеки.
16. ОБІЗНАНІСТЬ ТА НАВЧАННЯ З ПИТАНЬ БЕЗПЕКИ
Для підвищення обізнаності стосовно питань інформаційної безпеки весь персонал закладу, включаючи керівництво, повинен регулярно проходити відповідні навчання. Навчання з Ш для всього персоналу проводиться раз на три місяці, або позапланово при необхідності.
Навчальна програма з інформаційної безпеки
Відповідальний за інформаційну безпеку організовує та проводить навчання з інформаційної безпеки. Він/вона здійснює первинний інструктаж для нових працівників, щорічний інструктажі для всього персоналу, а також планові заняття стосовно Політики інформаційної безпеки та актуальних загроз. Для проведення навчань, відповідальний з Ш може залучати інших працівників та сторонніх експертів, в тому числі виробників TT-систем та розробників програмного забезпечення. Відвідування та/або участь у такому навчанні є обов'язковим для всього персоналу. Відповідальний за інформаційну безпеку веде відповідну документацію про всі навчальні заходи.
Відповідальний з Ш, при необхідності, може організовувати позапланові навчання при змінах у апаратному або програмному забезпечені, збільшені загроз, внесені змін у політику інформаційної безпеки, за результатами аудиту, тощо.
Пам’ятка з інформаційної безпеки
Відповідальний за Ш розробляє пам’ятку з інформаційної безпеки, до якої включає правила кібергігієни та правила чистого столу. Пам’ятка містить актуальну інформацію стосовно безпеки паролів, шкідливого програмного забезпечення, ідентифікації та реагування на інциденти, а також контролю доступу. Відповідальний за Ш забезпечує доведення пам’ятки з інформаційної безпеки до всього персоналу. Окрім того він/вона може поширювати спеціальні повідомлення до персоналу стосовно нових загроз, небезпеки, вразливостей та необхідних заходах інформаційної безпеки.
Захист від шкідливого програмного забезпечення
У рамках вищезазначеної навчальної програми з безпеки відповідальний за Ш проводить навчання щодо запобігання ураження та протидії шкідливому програмному забезпеченню. Tаке навчання повинно включати в себе наступне:
· Вказівки щодо поводження з підозрілим вкладенням електронної пошти, електронними листами від незнайомих відправників і шахрайських повідомлень;
· Важливості оновлення антивірусного програмного забезпечення та правил перевірки робочої станції або інших пристроїв на встановлення актуального антивірусного захисту;
· Про небезпеку завантаження файлів з невідомих або підозрілих джерел;
· Про ознаки небезпечного шкідливого програмного забезпечення, яке може обійти антивірусний захист або загроз «нульового дня»;
· Важливість регулярного резервного копіювання критично важливих даних і зберігання даних в безпечному місці;
· Дотримання правил антивірусного захисту при дистанційній роботі;
· Про шкоду, яку можуть заподіяти віруси, трояни, хробаки та інше шкідливе програмне забезпечення
· Правила дій, якщо виявлено шкідливе програмне забезпечення на робочій станції
Дотримання парольної політики
У рамках вищезазначеної навчальної програми з безпеки та нагадувань про безпеку персоналу відповідальний за ІБ проводить навчання щодо дотримання парольної політики. Таке навчання стосується правил призначення та зміни паролів, а саме:
· Необхідність зміни паролів кожні 30 днів.
· Користувач не може повторно використовувати останні 6 паролів.
· Паролі повинні містити не менше восьми символів і містити літери латинського алфавіту (верхнього регістру), малі та великі літери, цифри та спеціальні символи.
· Заборону вживання прізвищ, імен, дат днів народження або номерів телефонів для призначених паролів.
· Негайній зміні паролю при його компрометації або розголошені.
· Заборону передачі паролів іншим працівникам та стороннім особам, включаючи членів родини
· Заборону на запис паролів на папері, у робочому блокноті та іншому незахищеному місті біля робочої станції.
· Заборону на завантаження, онлайн використання чи входу до стороннього програмного забезпечення та/або входу до інтернет-сайтів з автоматичним завантаженням паролів під час наступного доступу до цих ресурсів.
· Будь-який працівник, якому відповідальний з ІБ доручив змінити свій пароль, тому що призначений пароль не відповідав вищезазначеним стандартам, повинен зробити це негайно.
17. УПРАВЛІННЯ РИЗИКАМИ
Для забезпечення інформаційної безпеки заклад проводить точну та ретельну оцінку потенційних ризиків та вразливостей стосовно конфіденційності, цілісності та доступності даних, що зберігаються, обробляються та передаються інформаційними системами та мережами закладу.
Заклад проводити точний і ретельний аналіз ризиків, результат цього аналізу служить основою для організації зусиль із забезпечення інформаційної безпеки закладу на належному рівні. Заклад проводить повторну оцінку ризиків безпеки та оцінку ефективності заходів безпеки, якщо це необхідно при змінах у штатній структурі, створені нових процесів чи розвитку технологій.
Процедура
ВІБ організовує та координує аналіз та оцінку ризиків. Для цього він/вона залучає відповідних осіб з персоналу закладу та/або зовнішніх експертів. Аналіз ризиків повинен відбуватися таким чином:
1. Проводиться інвентаризація та аналіз наявних інформаційних системи.
Оновлюється або здійснюється інвентаризації інформаційних систем: складається перелік всього інформаційного обладнання (наприклад, мережевих пристроїв, робочих станцій, принтерів, сканерів, мобільних пристроїв) і програмного забезпечення (наприклад, операційних систем, додатків, іншого програмного забезпечення та інтерфейсів); в переліку вказується: назва інформаційної системи, дата придбання, місцезнаходження, постачальник, ліцензії, графік технічного обслуговування та функції; здійснюється оновлення або розробка мережевої архітектури.
Оновлюється або розробляється макет об'єкта, що показує розташування обладнання всіх інформаційних систем, джерел живлення, телефонних роз'ємів; та іншого телекомунікаційного обладнання, мережевих точок доступу, схеми пожежної та охоронної сигналізації та обладнання, а також місця зберігання небезпечних матеріалів;
Для кожного елементу макету об’єкта ідентифікується відповідальний (авторизований користувач), вказується його посада та спосіб отримання дозволу на авторизоване користування;
Для кожної інформаційної системи вказується:
o пов’язані дані, про які зазначається, чи створені дані закладом або отримані від третьої сторони. Якщо дані отримані від третьої сторони, зазначається спосіб отримання;
o чи зберігаються дані тільки всередині організації або передаються третій стороні. Якщо дані передаються третій стороні, визначають цю сторону, а також мету і спосіб передачі;
o критичність інформаційної системи для закладу та пов'язаних з нею даних. Критичність визначають як високу, середню або низьку. Критичність - це ступінь впливу на діяльність закладу інформаційної системи, уразі якщо пов'язані з нею дані стануть недоступними протягом певного періоду часу;
o визначена чутливість даних як висока, середня або низька. Чутливість - це характер даних пов’язаний з оцінкою шкоди, яка може виникнути в результаті порушення конфіденційності даних.
o визначені засоби контролю безпеки для кожного ідентифікованого програмного забезпечення, що застосовується в інформаційних системах, із зазначенням процедури контролю та засобів контролю.
При оцінці загроз конфіденційності, цілісності та доступності даних, які створених, отримані, зберігаються, передаються чи обробляються закладом звертається увага на таке:
o загрози пошкодження даних навколишнім середовищем, наприклад, землетрусом, повінню, штормом, тощо.
o Загрози надзвичайних ситуацій - пошкодження пожежею, аварією електромережі, припиненням отримання комунальних послуг, тощо.
o Людські загрози, а саме:
ненавмисні дії, наприклад, помилки при введені даних, використання несправного програмного забезпечення, нездатність оновити програмне забезпечення, відсутність належних фінансових та людських ресурсів для підтримки необхідних засобів контролю безпеки
неналежна діяльність, наприклад, неналежна поведінка, зловживання привілеями чи правами, марнотратство, переслідування особистої користі
зловмисні дії, наприклад шахрайство, крадіжки, вандалізм, диверсії,
зовнішні атаки, наприклад, хакерські атаки, сканування, геополітичні ризики.
2. Виявляються вразливості інформаційних систем. Вразливість - це недолік або слабкість у процедурах безпеки, розробці, впровадженні або контролі за використанням ІС, які можуть бути випадково спровоковані або навмисно використані, що призведе до несанкціонованого доступу, модифікації даних, відмові в обслуговуванні або відмові від ідентифікації (неможливості ідентифікувати джерело зловмисних дій і притягнути якусь особу до відповідальності за ці дії). Для виконання цього завдання проводиться аналіз стосовно використання та застосування стандартів інформаційної безпеки до конкретних ІС і визначається ймовірність інциденту безпеки через вразливість інформаційної системи. Ймовірність інциденту безпеки визначається як.
«Дуже ймовірно» - такий, що має дуже високі шанси на виникнення.
«Ймовірно» - такий, що має значний шанс на виникнення.
«Мало ймовірно» - незначний шанс на виникнення.
3. Одночасно визначається рівень критичності для вразливості інформаційної системи, як
«Високий» - такий, що має катастрофічний вплив на інформаційну практику, призведе до втрати чи компрометації значної кількості інформаційних записів.
«Середній» - такий, що має значний вплив на інформаційну практику, може призвести до втрати або компрометації даних
«Низький» - визначається як незначний вплив, включаючи незначну втрату або компрометацію деяких інформаційних записів.
4. Визначається показник ризику для кожної вразливості шляхом компіляції оцінок ймовірності та критичності. Ризики з більш високим показником ймовірності та критичності вимагають більшої уваги.
5. Визначаються відповідні заходи безпеки для усунення або мінімізації ризиків. Основні зусилля зосереджуються на усунені вразливостей з високими показниками ризику. Ризики які неможливо усунути чи мінімізувати приймаються. Це означає, що керівництво йде на такий ризик та усвідомлює наслідки.
6. Розробляється або уточняється політика інформаційної безпеки та здійснюються конкретні критично важливих заходів безпеки (наприклад закупівля відповідної системи інформаційної безпеки), а саме:
визначається термін реалізації;
визначити витрати на такий захід та джерело фінансування;
призначається відповідальна особа;
визначається порядок здійснення заходу;
термін завершення;
робиться попередня оцінка ефективності заходу, яка після його здійснення уточняється.
7. Відповідальний за ТБ здійснює оцінку ефективності заходу стосовно усунення чи мінімізації ризику та при необхідності забезпечує здійснення повторної оцінки, яка включає:
Огляди, інтерв'ю користувачів з метою аналізу ефективності заходу, перегляд процедур, планів та політики інформаційної безпеки, аналіз інцидентів безпеки, уточнення програми навчань з ТБ, тощо.
Для здійснення оцінки відповідальний може залучати відповідних працівників закладу та/або зовнішніх експертів при необхідності.
18. ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ
Персонал та керівництво закладу повинні постійно захищати конфіденційність, цілісність та доступність інформації та забезпечувати підтримку інформаційної безпеки закладу на належному рівні. При порушенні чинного законодавства та політики інформаційної безпеки настає відповідальність за порушення.
До конфіденційної інформації закладу відноситься:
захищена інформація - індивідуальна інформація, яка знаходиться в будь-якій формі будь то електронна, паперова або усна;
електронна захищена інформація - індивідуальна інформація, яка знаходиться в електронному форматі;
інформація про персонал - будь-яка інформація, пов'язана з наймам та/або працевлаштуванням будь-якої фізичної особи, яка є або була працевлаштована в закладі.
дані про заробітну плату персоналу;
фінансові/бухгалтерські записи - будь-які записи, пов'язані з бухгалтерською або фінансовою звітністю закладу;
інша конфіденційна інформація - будь-яка інша інформація, яка має конфіденційний характер або вважається конфіденційною відповідно до чинних угод та договорів.
Терміни доступність, цілісність та конфіденційність вживаються відповідно до визначень, що наведені у п. 1.2. цієї політики.
Перелік порушень та відповідальність за них
Нижче перераховані види порушень, які вимагають застосування покарань. Вони діляться на три рівня перший (1), другий (2) і третій (3) в залежності від серйозності порушення та їх наслідків.
Рівень Опис порушення
Перший рівень порушень (1) Доступ до інформації, яка не потрібна для виконання службових обов’язків;
передача іншій особі персонального логіну та паролю та/або надання спільного доступу до робочої станції, авторизованого доступу;
залишення працюючого комп'ютера з доступом до конфіденційної інформації без нагляду;
розкриття конфіденційної інформації стороннім особам;
копіювання конфіденційної інформації без дозволу;
зміна конфіденційної інформації без дозволу;
обговорення конфіденційної інформації в публічному місці, де стороні особи мають можливість підслуховувати розмову;
обговорення конфіденційної інформації з неуповноваженою особою;
відмова від співпраці з відповідальним за ІБ та невиконання його вказівок щодо дотримання політики інформаційної безпеки.
Другий рівень порушень (2) Здійснення порушення першого рівня вдруге (не обов'язково має бути тим самим порушенням);
несанкціоноване використання або розголошення конфіденційної інформації;
отримання доступу під логіном та паролем іншої людини;
невиконання/відмова у виконанні вказівок щодо виправлення ситуації.
Третій рівень порушень (3) Здійснення порушення першого рівня втретє (не обов'язково має бути тим самим порушенням);
здійснення порушення другого рівня вдруге (не обов'язково має бути тим самим порушенням);
отримання конфіденційної інформації під вигаданими приводами;
використання та/або розкриття конфіденційної інформації з метою отримання особистої вигоди або здійснення зловмисних дій.
Дисциплінарні стягнення
У тому випадку, якщо працівник здійснив будь-яке з наведених вищі порушень до нього застосовуються наступні заходи дисциплінарного впливу чи покарання.
Рівень порушення Дисциплінарні стягнення
Перший рівень порушень (1) Догана, або пониження прав доступу, або направлення на додаткове заняття з інформаційної безпеки,
або проходження додаткового інструктажу з інформаційної безпеки
Другий рівень порушень (2) Догана із занесенням в особову справу, або тимчасове відсторонення від виконання службових обов’язків;
або пониження прав доступу до рівня, що призводить до пониження у посаді чи рівні кваліфікації;
або призначення проходження позапланового навчання (курсу навчань) в неробочій час;
Третій рівень порушень (3) Припинення трудової діяльності або розірвання контракту;
та/або накладання штрафу для компенсації нанесених збитків;
та/або кримінальне покарання відповідно до чинного законодавства.
Дисциплінарні покарання носять виховуючи характер та застосовуються відповідно до певних обставин здійснення порушень. Керівництво закладу проводить консультації з відділом кадрів перед вжиттям відповідних заходів. У відповідних випадках накладаються більш м’які дисциплінарні покарання, якщо порушник усвідомлює неправильність вчинку та налаштований скорегувати поведінку.
Накладання догани повинно бути попередньо обговорено керівництвом з відділом кадрів.
Винятки
В залежності від тяжкості наслідків порушення, будь-які окремі порушення першого та другого рівня можуть призвести до припинення трудової діяльності або розривання контракту з порушником.
Визнання відповідальності за порушення
Я, нижче підписаний працівник або підрядник, цим підтверджую отримання та ознайомлення з інформацією Самбірський фаховий медичний коледж стосовно відповідальності за порушення інформаційної безпеки.
Дата Підпис співробітника/підрядника
19. ПЕРЕВІРКА КАНДИДАТІВ
Заклад проводить довідкові перевірки кандидатів перед працевлаштуванням. Від кандидата завчасно отримується згода на проведення такої перевірки. Кандидат, який відмовляється від такої перевірки, перестає бути кандидатом.
Тип інформації, яка буде зібрана закладом під час перевірки біографічних даних, може включати, але не обмежуватися наступною інформацією:
· довідка про непритягувана до кримінальної відповідальності;
· диплом про освіту (включаючи середній бал);
· сертифікати, дипломи про закінчення закладів навчання, курсів, тощо;
· резюме кандидата.
Ця інформація також може бути додатково переглянута під час здійснення працівником порушення або його/її перепризначення на посаду з розширенням прав доступу. Повідомлення про судимість не обов'язково дискваліфікує кандидата на працевлаштування. При прийняті рішення враховується характер і серйозність правопорушення, дата правопорушення, обставини та можливі ризики для закладу при працевлаштуванні такого кандидата.
Заклад має право відкликати пропозицію про працевлаштування, або звільнити працівника при виявлені свідомого надання неправдивої інформації стосовно себе.
Звіти про перевірку біографічних даних зберігається, як конфіденційна інформація відділом кадрів.
20. РЕАГУВАННЯ НА ІНЦИДЕНТ
Повідомлення про порушення
1. Будь-який працівник, якому стало відомо про порушення політик інформаційної безпеки або про інцидент ІБ негайно повідомляє про це свого безпосереднього керівника та/або відповідального за ІБ.
2. Повідомлення повинно відбуватися негайно після виявлення можливого порушення або до закінчення зміни, якщо інші обов'язки заважають зробити це негайно.
3. Безпосередній керівник або відповідальний за ІБ перевіряє обставини можливого порушення та невідкладно вживає можливі заходи реагування на порушення, а також доповідає про порушення керівнику закладу.
4. Для негайного повідомлення про порушення персонал може зателефонувати відповідальному за інформаційну безпеку за номером телефону __________________.
Реагування на інцидент
Відповідальний за інформаційну безпеку при отримані повідомлення про порушення або інцидент самостійно або із залученням відповідних працівників закладу вживає наступні заходи, з метою обмеження наслідків порушення чи інциденту:
1. Вживає заходів по збиранню та збереженню доказів та припиняє несанкціоновану дію.
2. Відключає або локалізує ІТ-систему, яка може бути уражена.
3. По можливості відновлює записи, дані, що могли постраждати.
4. По можливості усуває вразливості та слабкі місця, які призвели до інциденту.
5. За рішенням керівника повідомляє правоохоронним органам (СЕЯТ-ЦЛ, кіберполіцію) про інцидент безпеки та його ознаки.
6. Заклад повинен повідомляти Міністерство охорони здоров’я України про значні інциденти інформаційної безпеки. Порядок повідомлення про такі інциденти встановлюється МОЗ.
Розслідування та мінімізація ризиків
1. При інциденті інформаційної безпеки, що може причинити значні негативні наслідки відповідальний за ТБ долучає до розслідування членів Робочої групи з інформаційної безпеки. До РГТБ також долучається керівник відділу/підрозділу де трапився інцидент.
2. Група розглядає обставини, причини та наслідки інциденту та оцінює ризики інформаційної безпеки, які пов’язані з інцидентом. При цьому розглядаються наступні фактори, але не обмежуються ними:
· Характер цифрового активу, який постраждав в наслідок інциденту та його важливість для функціонування закладу;
· Необхідні заходи та засоби для відновлення функціонування;
· Договірні зобов'язання, які можуть бути не виконані, порушені;
· Ризики крадіжки особистих даних або втрати інформації в наслідок її псування, затирання чи шифрування, можливості щодо відновлення якомога актуальнішої версії резервного копіювання;
· Ризик заподіяння фізичної шкоди, якщо втрата даних ставить під загрозу життя людини;
· Ризик заподіяння шкоди репутації закладу;
· Обсяги (масив) втраченої, вкраденої чи зіпсованої інформації та кількість постраждалих осіб.
Повідомлення постраждалих
1. Відповідно до чинного законодавства заклад повідомляє постраждалим особам про виток їх персональних даних та медичної інформації.
2. Постраждалі особи повинні бути повідомлені не пізніше двох місяців після відбуття інциденту. Повідомлення повинні містити наступну інформацію:
· що сталося;
· яка сама персональна та медична інформація стосовно постраждалої особи вкрадена (скомпрометована) чи зіпсована;
· рекомендації, що постраждалій особі бажано зробити;
· інформація про дії закладу для запобігання подібних інцидентів у майбутньому;
· контактна інформація.
Повідомлення надсилається на електронну пошту постраждалої особи або інший електронний акаунт.
3. Якщо заклад повідомив про інцидент правоохоронні органи то інформування постраждалих осіб відбувається тільки після дозволу правоохоронців, щоб не перешкоджати кримінальному розслідуванню.
4. Непряме сповіщення, таке як публікація інформації на веб-сайті або сторінці закладу у соціальних мережах, може відбутися коли кількість постраждалих значна, перевищує 500 осіб.
5. Використання декількох методів оповіщення в певних випадках може виявитися найбільш ефективним підходом.
Профілактика
1. Після вжиття негайних заходів для зменшення ризиків, пов'язаних з порушенням, відповідальний за ТБ проводить розслідування причин порушення.
· При необхідності може проводитися аудит безпеки фізичних, організаційних і технологічних заходів.
· Це також може включати перегляд політики інформаційної безпеки.
2. Для проведення розслідування причин інциденту відповідальний за ІБ залучає відповідних працівників закладу та при необхідності зовнішніх експертів.
3. Результати розслідування доповідаються керівнику закладу разом з рекомендаціями, щодо запобігання подібних інцидентів у майбутньому.
4. За результатами складається план заходів з усунення недоліків, виявлених в ході розслідування інциденту, якщо це доречно.
Відповідальність
Керівник закладу несе повну відповідальність за захист даних та підтримку належного рівня інформаційної безпеки закладу. Керівництво та всі працівники закладу, які порушують політику інформаційної безпеки та/або чинне законодавство несуть дисциплінарну, адміністративну чи кримінальну відповідальність.
ДОДАТОК 1
ФОРМА ЗАПИТУ НА ДОСТУП
(запит працівника чи підрядника на доступ до інформаційних ресурсів)
ПІБ _____________________________________________________________________________
Посада __________________________________________________________________________
Дата початку доступу ______________________________________________________________
Режим доступу (цілодобовий чи у певні робочі години) _________________________________
Дата та час припинення доступу ____________________________________________________
Перелік ресурсів до яких надається доступ з вказанням прав доступу (читання, редагування, здачі під охорону сигналізацію, відвідування у вихідні дні тощо)
1. Електронна пошта _______________________________________________________________
2. Електронні реєстри ______________________________________________________________
3. ІТ-системи, мережі ______________________________________________________________
4. Програмне забезпечення, додатки __________________________________________________
5. Віддалений доступ ______________________________________________________________
6. Службовий телефон _____________________________________________________________
7. Доступ до будівлі _______________________________________________________________
Погодження безпосереднього керівника ______________________________
Погодження відповідального за ІБ ___________________________________
ДОДАТОК 2
Згода про нерозголошення
ВІДПОВІДАЛЬНІСТЬ ЗА РОЗГОЛОШЕННЯ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ
Я розумію і погоджуюся зберігати, захищати та не розголошувати конфіденційну інформацію Комунального закладу Львівської обласної ради «Самбірського фахового медичного коледжу». Крім того, я розумію, що будь-яке несанкціоноване використання або розголошення інформації закладу, може призвести до дисциплінарної, адміністративної чи кримінальної відповідальності відповідно до політики інформаційної безпеки Назва ЗОЗ та чинного законодавства.
______________________ ________________________________
Дата Підпис
______________________ ________________________________
Дата Підпис відповідального за ІБ
ДОДАТОК 3
ЗАТВЕРДЖЕНЕ ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ
Нижче наведений перелік затверджено для використання програмного забезпечення, яке повинно бути встановлене на робочих станціях та використовуватись персоналом для роботи.
Використання не затвердженого програмного забезпечення на робочих станціях заборонено.
ПЗ Версія Затверджено Дата Опис/Коментарі