Dokumentasyon sa seguridad ng impormasyon ng organisasyon. Regulasyon sa seguridad ng impormasyon

Pulitika seguridad ng impormasyon mga negosyo

Ang tagumpay ng pagtiyak sa kaligtasan at proteksyon ng impormasyon sa isang negosyo ay nakasalalay, una sa lahat, sa mga binuo na patakaran sa seguridad sa negosyo. Ang patakaran sa seguridad ng impormasyon ng isang organisasyon ay isang hanay ng mga alituntunin sa seguridad, panuntunan, pamamaraan, at kasanayan na namamahala sa pamamahala, proteksyon, at pamamahagi ng sensitibong impormasyon.

Isaalang-alang ang antas ng administratibo ng seguridad ng impormasyon ng negosyo, iyon ay, ang mga hakbang na ginawa ng pamamahala ng organisasyon. Sa gitna ng lahat ng aktibidad sa antas ng administratibo ay isang dokumento na madalas na tinutukoy bilang isang patakaran sa seguridad ng impormasyon ng enterprise. Ang patakaran sa seguridad ng impormasyon ay nauunawaan bilang isang set ng dokumentado mga desisyon sa pamamahala at bumuo ng mga hakbang sa pag-iwas na naglalayong protektahan ang mga mapagkukunan ng impormasyon.

Ang pagbuo ng isang patakaran sa seguridad ng impormasyon ay hindi nangangahulugang isang maliit na bagay. Ang pagiging epektibo ng lahat ng iba pang antas ng seguridad ng impormasyon - pamamaraan at software at hardware - ay magdedepende sa kabuoan ng elaborasyon nito. Ang pagiging kumplikado ng pagbuo ng dokumentong ito ay tinutukoy ng may problemang paggamit ng karanasan ng ibang tao, dahil ang patakaran sa seguridad ay batay sa mga mapagkukunan ng produksyon at functional dependencies ng isang partikular na negosyo. Bilang karagdagan, ang Russia bilang isang estado ay walang ganoong karaniwang dokumento. Ang pinakamalapit sa ideya ay maaaring tawaging "Information Security Doctrine ng Russian Federation", gayunpaman, sa palagay ko, ito ay masyadong pangkalahatan.

Kaugnay nito, ipinapayong gumamit ng dayuhang karanasan upang bumuo ng isang patakaran sa seguridad ng impormasyon. Ang aspetong ito ay ginawa sa pinakadetalye sa "Pangkalahatang Pamantayan para sa Pagtatasa sa Kaligtasan teknolohiya ng impormasyon", bersyon 2.0 ng Mayo 22, 1998 ng British Standard BS7799:1995. Inirerekomenda nito na ang mga sumusunod na item ay isama sa dokumentong nagpapakilala sa patakaran sa seguridad ng impormasyon ng organisasyon:

Panimula, na nagpapatunay sa interes ng senior management sa mga isyu sa seguridad ng impormasyon;

Organisasyon, na naglalaman ng isang paglalarawan ng mga kagawaran, komisyon, grupo, atbp., na responsable para sa trabaho sa larangan ng seguridad ng impormasyon;

pag-uuri, na naglalarawan sa materyal at mga mapagkukunan ng impormasyon na magagamit sa negosyo at ang kinakailangang antas ng kanilang proteksyon;

Regular, na nagpapakilala sa mga hakbang sa seguridad na inilalapat sa mga tauhan (paglalarawan ng mga posisyon sa mga tuntunin ng seguridad ng impormasyon, organisasyon ng pagsasanay, pamamaraan para sa pagtugon sa mga paglabag sa rehimen, atbp.);

Seksyon na sumasaklaw sa mga isyu ng pisikal na proteksyon ng impormasyon;

Isang seksyon ng pamamahala na naglalarawan ng isang diskarte sa pamamahala ng mga computer at data network;

Seksyon na naglalarawan sa mga patakaran para sa paghihigpit sa pag-access sa impormasyon ng produksyon;

Seksyon na naglalarawan sa pagkakasunud-sunod ng pagbuo at pagpapatupad ng mga sistema;

Seksyon na naglalarawan ng mga hakbang na naglalayong tiyakin ang pagpapatuloy ng organisasyon (availability ng impormasyon);

isang legal na seksyon na nagpapatunay sa pagsunod ng patakaran sa seguridad ng impormasyon sa kasalukuyang batas. Ang rekomendasyon bilang batayan para sa pagbuo ng isang patakaran sa seguridad ng impormasyon para sa mga dayuhang dokumento ay maaaring maging palaisipan. Gayunpaman, tulad ng makikita mula sa mga rekomendasyon ng BS 7799:1995, ang mga ito ay pangkalahatang kalikasan at pantay na naaangkop sa mga negosyo saanman sa mundo. Kung paanong ang mga patakaran para sa pagtatayo ng bahay ay pareho para sa lahat ng bahay sa mundo at inaayos lamang ng kasalukuyang batas, mga regulasyon sa gusali at mga regulasyon at mga katulad na dokumento. Bilang karagdagan, ang huling seksyon ng mga rekomendasyon ay naglalaman ng kumpirmasyon ng pagsunod ng patakaran sa seguridad sa kasalukuyang batas ng bansa, batay sa kung saan dapat itong ibase.

Ang pagbuo ng patakaran ay dapat magsimula sa isang pagsusuri sa panganib. Ang pagsusuri sa peligro ay binubuo ng dalawang pangunahing yugto: imbentaryo at pag-uuri ng mga mapagkukunan ng impormasyon. Ang isang imbentaryo ng mga mapagkukunan ng impormasyon ay makakatulong sa pagtukoy sa antas ng kinakailangang proteksyon, kontrol sa seguridad, at magiging kapaki-pakinabang din sa iba pang mga lugar, tulad ng kalusugan at kaligtasan sa trabaho, insurance, pananalapi. Bilang mga mapagkukunang nauugnay sa teknolohiya ng impormasyon, ay maaaring:

mapagkukunan ng impormasyon: mga imbakan ng file, database, dokumentasyon, mga gabay sa pag-aaral, mga dokumento sa antas ng pamamaraan (mga tagubilin, atbp.);

Mga mapagkukunan ng software: software ng application at system, mga utility, atbp.;

Mga pisikal na mapagkukunan: kagamitan sa pag-compute at komunikasyon, mga carrier ng data (mga tape at disk), iba pang kagamitang teknikal (mga supply ng kuryente, air conditioner), kasangkapan, lugar;

Mga Serbisyo: heating, lighting, power supply, air conditioning;

yamang tao.

Pagkatapos ng imbentaryo, inuri ang mga mapagkukunan. Ang halaga ng bawat mapagkukunan ay karaniwang ipinapakita bilang isang function ng ilang discrete variable.

Magbigay tayo ng isang halimbawa ng pag-uuri ng mapagkukunan ng impormasyon. Bilang pangunahing variable, ang antas ng pagiging kumpidensyal ng impormasyon ay karaniwang pinipili gamit ang mga sumusunod na halaga:

Impormasyong naglalaman ng mga lihim ng estado;

Impormasyong naglalaman ng mga lihim ng kalakalan;

Kumpidensyal na impormasyon (impormasyon na hindi isang komersyal o lihim ng estado, kahit na ang publisidad nito ay hindi kanais-nais);

Libreng impormasyon.

Ang kaugnayan nito o ng mapagkukunang iyon sa mga paglabag sa pangunahing tatlong aspeto ng seguridad ng impormasyon ay maaaring mapili bilang susunod na variable. Halimbawa, ang database ng telepono ng empleyado ng kumpanya ay maaaring ma-rate ng 8 para sa availability, isang 2 para sa pagiging kumpidensyal, at isang 4 para sa integridad.

applicability sa isang ibinigay na mapagkukunan, ang posibilidad ng paglitaw at posibleng pinsala. Batay sa mga resulta ng pagsusuri na ito, isang seksyon ng pag-uuri ng patakaran sa seguridad ng impormasyon ay pinagsama-sama.

Ang seksyon ng staffing ay naglalayong bawasan ang panganib ng pagkakamali ng tao, pagnanakaw, pandaraya o maling paggamit ng mga mapagkukunan. Ang seksyong ito ay gagamitin sa pag-unlad mga paglalarawan ng trabaho mga gumagamit at mga dokumento ng gabay para sa mga departamento at serbisyo ng seguridad ng impormasyon. Dapat kasama sa dokumento ang mga sumusunod na seksyon:

Mga panuntunan para sa pagsuri sa mga na-recruit na tauhan;

Mga obligasyon at karapatan ng mga gumagamit kaugnay ng mga mapagkukunan ng impormasyon;

Pagsasanay ng gumagamit at ang pamamaraan para sa pag-access upang gumana sa mga mapagkukunan ng impormasyon;

Mga karapatan at obligasyon ng mga tagapangasiwa;

Ang pamamaraan para sa pagtugon sa mga kaganapan na nagdudulot ng banta sa seguridad ng impormasyon;

Ang pamamaraan para sa pagpapataw ng mga parusa.

Kasama sa unang talata ang mga patakaran para sa pag-aaplay para sa pagpasok, Mga kinakailangang dokumento, resume form, rekomendasyon, atbp. Bilang karagdagan, ang pangangailangan, anyo at pamamaraan para sa pagsasagawa ng mga panayam sa mga empleyado ng iba't ibang kategorya ay tinutukoy. Inilalarawan din nito ang iba't ibang mga obligasyon sa hindi pagsisiwalat.

Inilalarawan ng ikalawang talata ang mga obligasyon ng mga user na mapanatili ang kanilang lugar ng trabaho, gayundin kapag nagtatrabaho sa mga mapagkukunan ng impormasyon. Ang item na ito ay malapit na nauugnay sa pangatlong item dahil tinutukoy nito ang kinakailangang kaalaman ng mga gumagamit.

Ang ikatlong talata ay tumutukoy sa kinakailangang kaalaman para sa iba't ibang kategorya ng mga manggagawa, ang dalas at pamamaraan para sa pagtatagubilin sa paggamit ng mga mapagkukunan ng impormasyon. Kailangan ng malinaw na kaalaman

mga gumagamit ng lahat ng mga isyu sa pamamaraan (pagkilala sa system, pagpapalit ng password, pag-update ng mga database ng anti-virus, pagtatrabaho sa mga pakete ng software, atbp.). Bilang karagdagan, ang pamamaraan para sa pagkonekta ng isang gumagamit sa mga mapagkukunan ng impormasyon (mga kinakailangang dokumento, coordinating person at mga departamento) ay inilarawan.

Para sa normal na paggana ng system, ang mga administrador ng seguridad ng impormasyon ay dapat may sapat na karapatan. Ang pagdiskonekta mula sa network o mapagkukunan ng impormasyon ng workstation na siyang carrier ng virus ay isang pangangailangan, hindi isang paglabag sa teknolohikal na proseso.

Para sa isang napapanahong tugon sa mga banta sa seguridad ng system, ang mga pormal na pamamaraan para sa pag-abiso at pagtugon sa mga naturang sistema ay dapat na malinaw na tinukoy. Ang lahat ng mga gumagamit ay dapat hilingin na mag-ulat ng mga insidente at kahinaan sa sistema ng seguridad, mga pagkabigo ng software at hardware sa mga nakatalagang tao. Kinakailangang tukuyin at ipaalam sa mga gumagamit ang mga paraan ng pag-aayos ng mga sintomas ng mga pagkabigo ng kagamitan.

Ang huling seksyon ay naglalaman ng isang paglalarawan ng pamamaraan para sa pagpapataw ng mga parusa para sa mga paglabag sa mga patakaran sa seguridad ng impormasyon na itinatag sa negosyo. Ang mga hakbang sa pagpaparusa at ang antas ng responsibilidad ay dapat idokumento.

Depende sa uri ng pasilidad, ang mga hakbang sa pisikal na proteksyon ay maaaring mag-iba nang malaki. Batay sa pagsusuri ng panganib para sa bawat negosyo, kinakailangang mahigpit na ilarawan ang mga uri ng lugar at ang mga hakbang sa seguridad na kinakailangan para sa kanila. Kasama sa mga hakbang sa seguridad ang pag-install ng mga grating, mga kandado, ang pamamaraan para sa pagpasok sa mga lugar, mga kagamitan sa proteksyon ng electromagnetic, atbp. Bilang karagdagan, kinakailangan na magtatag ng mga patakaran para sa paggamit ng desktop at mga pamamaraan para sa pagtatapon ng mga materyales (iba't ibang magnetic media, mga dokumento ng papel, mga yunit), mga patakaran para sa pagkuha ng software at hardware sa labas ng organisasyon.

Ang mga seksyon ng pamamahala na naglalarawan ng mga diskarte sa pamamahala ng mga computer at mga network ng paghahatid ng data at ang pamamaraan para sa pagbuo at pagpapatupad ng mga system, naglalarawan ng pamamaraan para sa pagsasagawa ng mga karaniwang pamamaraan ng pagpapatakbo para sa paghawak ng data, mga patakaran para sa paglalagay ng mga system sa operasyon (pagtanggap ng mga system), at pag-audit ng kanilang trabaho. Bilang karagdagan, ang seksyong ito ay tumutukoy sa pamamaraan para sa pagprotekta sa enterprise mula sa malisyosong software (sa partikular, ang mga patakaran para sa pagpapatakbo ng anti-virus system). Tinukoy ang mga pamamaraan ng pag-audit sa kalusugan ng system at pag-backup. Inilalarawan ang karaniwang software na pinapayagang gumana sa enterprise. Inilalarawan din nito ang mga e-mail security system, electronic digital signature system, at iba pang cryptographic at authentication system na tumatakbo sa enterprise. Ito ay mahalaga, dahil ang batas ng Russia sa rehiyon ay mahigpit sa bagay na ito.

Ang mga karapatan sa pag-access sa mga system ay dapat na idokumento at ang pamamaraan para sa pagbibigay sa kanila ay tinukoy. mga dokumento ng regulasyon. Ang mga posisyon na responsable para sa pag-apruba ng mga aplikasyon para sa pagbibigay ng mga karapatan sa pag-access, pati na rin ang pamamahagi ng mga karapatan, ay dapat ipahiwatig. Bilang karagdagan, sa mga organisasyon na may malubhang mga kinakailangan para sa seguridad ng impormasyon, ang pamamaraan para sa pagsuri sa mga karapatan sa pag-access sa mga system at ang mga taong nagsasagawa nito ay tinutukoy. Ang parehong seksyon ay naglalarawan sa mga patakaran (patakaran) ng mga password ng user.

Kaya, ang patakaran sa seguridad ng impormasyon ng isang negosyo ay isang dokumento na batay sa kung saan binuo ang sistema ng seguridad. Sa turn, ang patakaran ay batay sa pagsusuri sa panganib, at kung mas kumpleto ang pagsusuri, mas magiging epektibo ang dokumento. Sinusuri ang lahat ng pangunahing mapagkukunan, kabilang ang materyal na base at mapagkukunan ng tao. Ang patakaran sa seguridad ay binuo alinsunod sa mga detalye ng negosyo at balangkas ng pambatasan estado.

Ang pangunahing bahagi ng information security complex ay

1. Proteksyon sa panghihimasok.

Mga firewall ng software at hardware-software, na software, o software at hardware device na idinisenyo upang kontrolin at limitahan ang internetworking.

2. Proteksyon laban sa malware.

Ang pagtuklas at pagkasira ng software, anumang paghihiwalay, iba't ibang uri at mga carrier ng malisyosong code. Pag-filter ng mga mensahe ng mail at nilalaman ng WEB Ang pag-filter ay isinasagawa sa tulong ng mga produkto ng software na kumokontrol sa papalabas at papasok (sa pamamagitan ng WEB at mga channel ng e-mail) na daloy ng impormasyon.

3.Backup
hardware at software tool para sa paglilipat ng pinakamahalaga mula sa nagpapalipat-lipat sa sistema ng impormasyon impormasyon sa alternatibong media para sa layunin ng pangmatagalang imbakan at may posibilidad na maibalik ang impormasyong ito kung kinakailangan.

4.Pagkontrol sa aktibidad

Mga sistema ng software at hardware na nagbibigay-daan sa pagkontrol at pagsubaybay sa mga paggalaw at aktibidad ng mga paksang nasa loob ng kontroladong perimeter.

5. Malakas na Mga Tool sa Pagpapatunay

Ginagamit upang pataasin ang lakas ng karaniwang pamamaraan ng pagpapatunay sa pamamagitan ng paggamit ng mga karagdagang hardware device. Pinapataas ng mga tool na ito ang antas ng tiwala at nagbibigay ng karagdagang kaginhawahan kumpara sa mga system na gumagamit ng karaniwang hanay ng mga tool.


26. Ang pamamaraan para sa pagpaparehistro (paglikha ng isang identifier at isang account) ng isang paksa at pagbibigay sa kanya (o pagpapalit ng kanyang) mga karapatan sa pag-access sa mga sistema ng impormasyon sa e-health ay pinasimulan ng aplikasyon ng paksa (Appendix No. 2). Ang aplikasyon ay inendorso ng pinuno ng organisasyon, na nagpapatunay sa pangangailangan ng produksyon para sa pag-access (pagbabago ng mga karapatan sa pag-access) ng paksang ito at ang pag-access ng taong ito sa mga sistema ng impormasyon sa e-health at kumpidensyal na impormasyong kinakailangan upang maisagawa ang mga opisyal na tungkulin at malutas ang mga ito mga gawain. Batay sa application, ginagawa ng administrator ang mga kinakailangang operasyon upang lumikha (baguhin, tanggalin) ang isang account, mga karapatan sa pag-access at password.

27. Ang pag-access sa mga sistema ng impormasyon sa e-health at kumpidensyal na impormasyon ay batay sa isang diskarte na nakabatay sa tungkulin, kapag nagrerehistro ng entidad ng organisasyon, ito ay itinalaga:
ang papel ng paksa ng organisasyon, na mahigpit na naghihigpit sa pag-access ng paksa sa mga sistema ng impormasyon ng eHealth mula sa ibang mga organisasyon;
ang papel ng profile ng isang organisasyon o departamento, na mahigpit na naghihigpit sa pag-access sa kumpidensyal na impormasyon na hindi nauugnay sa profile na ito ng organisasyon o may katayuang "pinaghihigpitang pag-access";
ang papel ng opisyal na posisyon, na nahahati sa ilang mga sub-role depende sa antas at katayuan ng organisasyon: ang pinuno ng organisasyon - ang pinuno ng yunit - ang dumadating na manggagamot - katulong sa laboratoryo, atbp.

28. Mga tungkulin sa pag-access sa opisyal na posisyon:
personal - personal na ibinigay sa empleyado (halimbawa, ang tungkuling ito ay nagbibigay ng access sa lokal na pangkalahatang practitioner Personal na impormasyon sa kalusugan ng populasyon na naka-attach sa teritoryal na site, alinsunod sa tinukoy na pamamaraan tulad ng sa talata 13 o sa nauugnay na dokumentasyon ng organisasyon at administratibo);
opisyal - ibinigay sa empleyado alinsunod sa kanyang posisyon (nag-aaral na manggagamot, pinuno ng departamento, atbp. alinsunod sa tinukoy na pamamaraan sa talata 13);
situational - naaayon sa sitwasyon (role) kung saan ang empleyado ay gumaganap ng kanyang mga tungkulin (halimbawa, ang doktor sa tungkulin ay dapat magkaroon ng higit na karapatan kaysa sa doktor ng departamento sa panahon ng tungkulin; ang doktor-consultant - lamang sa panahon ng konsultasyon o laboratoryo ang doktor ay maaaring makakuha ng ganap na access kapag nagsasagawa ng pag-aaral sa lahat ng EEMH ng pasyente alinsunod sa tinukoy na pamamaraan sa talata 13).

29. Maaaring malapat ang mga karapatan sa pag-access sa mga indibidwal na uri ng EEMS o mga talaan na nauugnay sa isang partikular na paksa.

30. Ang pamamahagi ng mga karapatan sa pag-access ay dapat na nakabatay sa mga kinakailangan para sa pagpapanatili ng mga rekord ng medikal na papel, na tinukoy ng mga umiiral na dokumento ng regulasyon, at ang tinatanggap na teknolohiya ng proseso ng medikal na diagnostic ng isang medikal na organisasyon.

31. Ang mga karapatan sa pag-access ng pasyente sa EPZ ay tinutukoy ng mga pangkalahatang karapatan alinsunod sa kasalukuyang batas ng Republika ng Kazakhstan, gayunpaman, ang pagiging kumpidensyal ng medikal na data ay sinisiguro. Ang sariling EMZ / EEMP ay maaaring ilipat sa paksa sa anyo ng mga kopya ng papel o sa anyo ng mga kopya sa electronic media (floppy disk, CD at DVD, flash card, atbp.). Kapag naglilipat ng papel o mga elektronikong kopya ng EMR/EEMR sa pasyente, ang responsibilidad para sa pagtiyak ng pagiging kumpidensyal ay nakasalalay sa paksa.

32. Sa pagpapasya ng pamamahala ng organisasyong medikal o mga etikal na dahilan, ang ilang EMH/EEHM ay maaaring isara ng dumadating na manggagamot ng paksa. Kasabay nito, ang pamamahala ng organisasyong medikal ay may pananagutan sa pag-obserba sa mga karapatan sa konstitusyon ng paksa.

33. Alinsunod sa pamamaraan na itinatag ng batas ng Republika ng Kazakhstan, gayundin alinsunod sa mga patakaran at dokumento na namamahala sa paglipat ng EMZ / EEMP, ang data ng EMZ / EEMP ay maaaring ilipat sa mga independiyenteng organisasyon (mga kahilingan mula sa pagpapatupad ng batas ahensya, pagsusuri, atbp.). Kapag naglilipat ng personal na impormasyon sa kalusugan sa elektronikong anyo, ang mga kinakailangan sa pagiging kompidensiyal tungkol sa medikal na data ng paksa ay dapat na mahigpit na sundin. Ang ipinadalang data ay dapat na nilagdaan ng EDS ng may-akda ng EMZ / EEMZ o ang pinuno (katiwala) ng naglilipat na organisasyon.

34. Kapag gumagamit ng EDS para sa pagpirma sa isang EMZ, maaaring saklawin ng lagda ang lahat ng impormasyon: EMZ, lahat ng mga nakalakip na file at lahat ng pormal na elemento ng data, pati na rin ang isang EDS ay maaaring malikha para sa bawat isa sa mga bumubuong bahagi ng EMZ, mga nakalakip na file at nakapormal na mga elemento ng data nang hiwalay.

35. Upang matiyak ang mga kinakailangan sa seguridad ng impormasyon, gayundin sa pag-audit ng mga account, ang panahon ng bisa ng pagbibigay ng access ay hindi dapat lumampas sa 1 taon (maliban sa inilarawan sa mga sugnay 37 at 38). Ang mga limitasyong ito ay itinakda ng administrator kapag ginawa ang account.

36. Kapag nagrerehistro (lumilikha ng isang identifier at isang account) ng paksa ng pag-access, dapat isama ng administrator ang isang talaan ng lahat ng mga aksyon ng gumagamit (pagpaparehistro ng pagpasok, paglabas, mga aksyon na ginawa), atbp. Ang pag-iimbak ng impormasyon tungkol sa mga aksyon ng gumagamit ay dapat na naka-imbak para sa 1 taon, sa panlabas na media sa ligtas ng yunit ng istruktura ng seguridad ng impormasyon.

37. Ang pag-deactivate ng account ay nangyayari batay sa isang aplikasyon na nilagdaan ng pinuno ng organisasyon, isang bypass sheet na ipinakita sa pagpapaalis ng isang empleyado. Nananatiling available sa organisasyon ang impormasyong ginawa ng winakasan na user. Sa kaganapan ng pagbabago sa lugar ng trabaho ng paksa ng pag-access ng organisasyon, ang mga kredensyal ay hindi tatanggalin, ngunit ang mga tungkulin ay binago alinsunod sa bagong isinumiteng aplikasyon.

38. Ang pagbibigay ng access sa mga paksa ng access sa mga kumpidensyal na mapagkukunan ng impormasyon ay pinapayagan na isagawa ng administrator. Ang paksa ng pag-access laban sa lagda ay binibigyan ng isang identifier, isang pansamantalang password, na dapat palitan ng paksa sa unang pag-login sa system. Ang pagpapalabas ng access sa mga e-health information system ay naitala sa journal na "Journal of registration of users and issuance of passwords" (Appendix 3).

39. Ang tagapangasiwa ay may karapatan:
suspindihin ang pagkakaloob ng mga serbisyo ng impormasyon, pag-access sa kumpidensyal na impormasyon sa mga paksa sa mga kaso ng mga sitwasyong pang-emergency, kompromiso ng password-key na impormasyon at sa direksyon ng pinuno ng organisasyon;
upang kontrolin ang katuparan ng mga kinakailangan para sa proteksyon ng impormasyon at teknolohiya para sa pagproseso ng kumpidensyal na impormasyon;
gumawa ng mga setting sa mga workstation ng mga paksa sa pag-access upang matiyak na ang kumpidensyal na impormasyon ay hindi kinokopya sa panlabas na media (USB, CD drive) at hindi sila pinapayagang makatanggap ng kopya ng screen (Print Screen).

40. Ang mga gumagamit ay may karapatang humiling ng mga serbisyo ng impormasyon, pag-access sa kumpidensyal na impormasyon at impormasyon tungkol sa mga kinakailangan at panuntunan para sa pagproseso ng kumpidensyal na impormasyon.

41. Ang pagbibigay ng mga karapatan sa pag-access sa mga e-health information system at kumpidensyal na impormasyon ng mga third-party na sistema ng impormasyon, pati na rin ang mga pribadong medikal na organisasyon, ay isasaalang-alang at kinokontrol sa isang karagdagang binuo na regulasyon "Sa pagbibigay ng mga karapatan sa pag-access sa mga pribadong organisasyong medikal at ikatlong- mga sistema ng impormasyon ng partido sa mga mapagkukunan ng impormasyon ng Ministri ng Kalusugan ng Republika ng Kazakhstan", na bubuuin kung kinakailangan.

Para sa isang negosyo, ang impormasyon nito ay isang mahalagang mapagkukunan. Ang patakaran sa seguridad ng impormasyon ay tumutukoy sa mga kinakailangang hakbang upang maprotektahan ang impormasyon mula sa hindi sinasadya o sinasadyang pagkuha, pagkasira, atbp. Ang bawat empleyado ng enterprise ay responsable para sa pagsunod sa patakaran sa seguridad. Ang mga layunin ng patakaran sa seguridad ay:

  • Pagpapatupad ng patuloy na pag-access sa mga mapagkukunan ng kumpanya para sa normal na pagganap ng kanilang mga tungkulin ng mga empleyado
  • Pagbibigay ng mga kritikal na mapagkukunan ng impormasyon
  • Proteksyon sa Integridad ng Data
  • Pagtatalaga ng antas ng responsibilidad at pag-andar ng mga empleyado para sa pagpapatupad ng seguridad ng impormasyon sa negosyo
  • Magtrabaho upang gawing pamilyar ang mga user sa larangan ng mga panganib na nauugnay sa inf. mga mapagkukunan ng negosyo

Dapat na pana-panahong suriin ang mga empleyado para sa pagsunod sa patakaran sa seguridad ng impormasyon. Nalalapat ang mga patakaran ng patakaran sa lahat ng mapagkukunan at impormasyon ng enterprise. Ang negosyo ay nagmamay-ari ng mga karapatan sa pagmamay-ari ng mga mapagkukunan ng computing, impormasyon ng negosyo, lisensyado at nilikha na software, nilalaman ng mail, iba't ibang mga dokumento.

Para sa lahat ng mga asset ng impormasyon ng isang enterprise, dapat mayroong mga naaangkop na tao na may pananagutan para sa paggamit ng mga iyon o iba pang mga asset.

I-access ang kontrol sa mga sistema ng impormasyon

Ang lahat ng mga tungkulin ay dapat gawin lamang sa mga computer na awtorisadong gamitin sa enterprise. Ang paggamit ng iyong mga portable na device at storage device ay posible lamang kung may kasunduan. Ang lahat ng kumpidensyal na impormasyon ay dapat na naka-imbak sa naka-encrypt na form sa mga hard drive kung saan ipinatupad ang software ng pag-encrypt ng hard drive. Ang mga karapatan ng mga empleyado sa sistema ng impormasyon ay dapat na regular na suriin. Upang ipatupad ang awtorisadong pag-access sa isang mapagkukunan ng impormasyon, dapat na ipatupad ang pag-login gamit ang isang natatanging username at password. Dapat matugunan ng mga password . Gayundin, sa panahon ng pahinga, o ang kawalan ng empleyado sa kanyang lugar ng trabaho, dapat gumana ang screen saver function upang harangan ang gumaganang makina.

Pag-access ng mga ikatlong partido sa sistema ng impormasyon ng negosyo

Dapat abisuhan ng bawat empleyado ang serbisyo ng IS na nagbibigay siya ng access sa mga ikatlong partido sa mga mapagkukunan ng network ng impormasyon.

Malayong pag-access

Ang mga empleyadong gumagamit ng mga personal na portable na device ay maaaring humiling ng malayuang pag-access sa network ng impormasyon ng enterprise. Ang mga empleyadong nagtatrabaho sa labas ng enterprise at may malayuang pag-access ay ipinagbabawal na kumopya ng data mula sa corporate network. Gayundin, ang mga naturang empleyado ay hindi maaaring magkaroon ng higit sa isang koneksyon sa iba't ibang mga network na hindi kabilang sa enterprise. Ang mga computer na may malayuang pag-access ay dapat na naglalaman ng .

Internet access

Ang ganitong pag-access ay dapat lamang pahintulutan para sa mga layunin ng negosyo at hindi para sa personal na paggamit. Ang mga rekomendasyon ay ipinapakita sa ibaba:

  • Ipinagbabawal na bumisita sa isang web resource na itinuturing na nakakasakit sa lipunan o may data na sekswal, propaganda, atbp.
  • Ang mga empleyado ay hindi dapat gumamit ng Internet upang mag-imbak ng data ng kumpanya
  • Ang mga empleyado na may mga account na ibinigay ng mga pampublikong tagapagkaloob ay ipinagbabawal na gumamit sa kagamitan ng enterprise
  • Ang lahat ng mga file mula sa Internet ay dapat suriin para sa mga virus
  • Ang pag-access sa Internet ay ipinagbabawal para sa lahat ng mga taong hindi empleyado

Proteksyon ng kagamitan

Dapat ding alalahanin ng mga empleyado ang pagpapatupad ng pisikal na seguridad para sa kagamitan na nag-iimbak o nagpoproseso ng data ng enterprise. Ipinagbabawal na manu-manong i-configure ang hardware at software; may mga espesyalista sa serbisyo ng seguridad ng impormasyon para dito.

Hardware

Ang mga gumagamit na nagtatrabaho sa kumpidensyal na impormasyon ay dapat magkaroon ng isang hiwalay na silid upang pisikal na paghigpitan ang pag-access sa kanila at sa kanilang lugar ng trabaho.

Ang bawat empleyado, na nakatanggap ng kagamitan mula sa negosyo para sa pansamantalang paggamit (paglalakbay sa negosyo), ay dapat alagaan ito at huwag iwanan ito nang walang pag-aalaga. Sa kaso ng pagkawala o iba pang mga emergency na sitwasyon, ang data sa computer ay dapat na naka-encrypt nang maaga.

Ang pag-format ng data bago isulat o sirain ang media ay hindi 100% na garantiya ng isang malinis na device. Gayundin, dapat na i-block ang mga port ng paglilipat ng data sa mga nakatigil na computer, maliban kung may pahintulot ang empleyado na kopyahin ang data.

Software

Ang lahat ng software na naka-install sa mga computer ng enterprise ay pag-aari ng enterprise at dapat gamitin sa mga opisyal na gawain. Ipinagbabawal para sa mga empleyado na personal na mag-install ng iba pang software nang hindi ito nakikipag-ugnayan sa serbisyo ng seguridad ng impormasyon. Ang lahat ng mga desktop computer ay dapat magkaroon ng isang minimum na hanay ng software:

  • Antivirus software
  • Hard Drive Encryption Software
  • Email encryption software

Ang mga empleyado ng kumpanya ay hindi dapat:

  • i-block o i-install ang iba pang antivirus software
  • baguhin ang mga setting ng seguridad

Ang mga elektronikong mensahe (kahit na malayo) ay maaaring gamitin ng estado. awtoridad o mga katunggali sa negosyo sa korte bilang ebidensya. Samakatuwid, ang nilalaman ng mga mensahe ay dapat na mahigpit na sumunod sa mga pamantayan ng korporasyon sa larangan ng etika sa negosyo.

Hindi dapat magpadala ang mga empleyado ng kumpidensyal na impormasyon ng enterprise sa pamamagitan ng koreo nang hindi nagpapatupad ng pag-encrypt. Gayundin, hindi maaaring gumamit ng mga pampublikong mailbox ang mga empleyado. Kapag nagtatrabaho sa mga dokumento, ang mga corporate mailbox lamang ang dapat gamitin. Ang mga sumusunod ay hindi malulutas na mga aksyon sa pagpapatupad ng e-mail:

  • group mail sa lahat ng user ng enterprise
  • pagpapadala ng mga personal na mensahe gamit ang enterprise e-mail resources
  • subscription sa mailing list ng kumpanya
  • pagpapadala ng mga materyales na hindi nauugnay sa trabaho

Pag-uulat ng insidente, pagtugon at pag-uulat

Dapat iulat ng lahat ng empleyado ang anumang pinaghihinalaang kahinaan sa seguridad. Gayundin, ang mga kahinaan ng sistema ng proteksyon na alam ng empleyado ay hindi dapat ibunyag. Kung may hinala ng mga virus o iba pang mapanirang aksyon sa computer, ang empleyado ay dapat:

  • ipaalam sa kawani ng IS
  • huwag i-on ang infected na computer at huwag gamitin ito
  • Huwag ikonekta ang computer sa network ng impormasyon ng kumpanya

Mga lugar na may mga pamamaraan ng teknikal na proteksyon

Lahat ng mga kumpidensyal na pagpupulong/session ay dapat isagawa lamang sa mga espesyal na silid. Ang mga kalahok ay ipinagbabawal na magdala ng mga recording device (Audio / Video) at mga mobile phone sa lugar nang walang pahintulot ng serbisyo sa seguridad ng impormasyon. Ang pag-record ng audio / video ay maaaring gawin ng isang empleyado na may pahintulot mula sa serbisyo ng seguridad ng impormasyon.

Basahin din:
Kasaysayan ng pag-unlad ng tao
Kasaysayan ng pag-unlad ng tao
Ano ang sinasabi ng asul na kulay sa mga damit
Ano ang sinasabi ng asul na kulay sa mga damit
pataas