3. Документ «Политика безопасности»

1.      Выбор конкретного способа подключения к сети Интернет, в совокупности обеспечивающего межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры внутренней сети; проведение анализа защищенности узла Интернет; использование средств антивирусной защиты; централизованное управление, должен производиться на основании рекомендаций документа Гостехкомиссии РФ СТР-К.

2.      ГЭС должны обеспечивать защиту информации от НСД (несанкционированного доступа) по классу «1Г» в соответствии с РД Гостехкомиссии РФ "РД. Автоматизированные системы. Защита от НСД к информации. Классификация ГЭС и требования по защите информации".

3.      Средства вычислительной техники и программные средства ГЭС должны удовлетворять требованиям четвертого класса РД Гостехкомиссии России «РД. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации».

4.      Программно-аппаратные средства межсетевого экранирования, применяемые для изоляции корпоративной сети от сетей общего пользования, должны удовлетворять требованиям «РД. Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» по третьему классу защиты.

5.      Информационные системы должны удовлетворять требованиям ГОСТ ИСО/ МЭК 15408 по защищенности информационых систем в рамках заданных профилей защиты.

6.      Во исполнение приказа Госкомсвязи России от 25 декабря 1997 года N103«"Об организации работ по защите информации в отрасли связи и информатизации при использовании сети Интернет» прямое подключение к сети Интернет АРМ по управлению оборудованием сетей связи, мониторингу, обработки данных должно быть запрещено.

7.      Программно-аппаратные средства криптографической защиты конфиденциальной информации, в том числе используемые для создания виртуальных защищенных сетей, VPN должны иметь сертификаты ФАПСИ.

8.      Обязательным является использование средств ЭЦП для подтверждения подлинности документов.

9.      Для введения использования персональных цифровых сертификатов и поддержки инфраструктуры открытых ключей для использования средств ЭЦП и шифрования необходимо создать легитимный удостоверяющий центр (систему удостоверяющих центров).

10.  Политика информационной безопасности должна предусматривать обязательное включение в технические задания на создание коммуникационных и иформационных систем требований информационной безопасности.

11.  Должен быть регламентирован порядок ввода в эксплуатацию новых информационных систем, их аттестации по требованиям информационной безопасности.

Список документов

1. «Модель угроз безопасности».

2. «Разграничения прав доступа».

3. «Руководство для работников ».

4.   «Руководство для сотрудников охраны»

5. «Руководство для сотрудников бухгалтерии»

6.   «Список применяемых средств защиты».

7. «Список эксплуатационной и технической документации применяемых средств защиты информации».

8. «Положение о защите персональных данных в больнице».

9. «Рекомендации по использованию программных и аппаратных средств защиты».

10. «Положение об организации режима безопасности помещений, где осуществляется работа с информацией в ГЭС»

11. «Положение о порядке хранения и уничтожения носителей, хранящих информацию ГЭС».

12. «Отчет об обследовании информационных систем ГЭС»

13. «Перечень сведений конфиденциального характера».

14. «Формы учета для организации обработки персональных данных».

15.   «Приказ о назначении должностного лица, ответственного за обеспечение безопасности персональных данных».

16. «Технический паспорт информационной системы персональных данных».

17. «Уведомление об обработке персональных данных».

18. «Акт классификации информационной системы персональных данных».

19.   «Положение по организации контроля эффективности защиты информации больнице».

20. «Техника безопасности для сотрудников»