Типы документов

Реклама

Партнеры

Приказ Департамента здравоохранения г. Москвы от 22.12.2014 N 1089 "Об обеспечении защиты информации Департамента здравоохранения города Москвы"



ПРАВИТЕЛЬСТВО МОСКВЫ

ДЕПАРТАМЕНТ ЗДРАВООХРАНЕНИЯ ГОРОДА МОСКВЫ

ПРИКАЗ
от 22 декабря 2014 г. № 1089

ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ИНФОРМАЦИИ ДЕПАРТАМЕНТА
ЗДРАВООХРАНЕНИЯ ГОРОДА МОСКВЫ

В целях обеспечения защиты информации и упорядочивания доступа к информационным ресурсам Департамента здравоохранения города Москвы приказываю:
1. Утвердить:
1.1. Положение о регистрации пользователей в информационной сети ДЗМ согласно приложению 1.
1.2. Положение по организации парольной защиты в ДЗМ согласно приложению 2.
1.3. Положение об использовании мобильных устройств и носителей конфиденциальной информации в ДЗМ согласно приложению 3.
1.4. Положение об использовании сети Интернет и электронной почты в ДЗМ согласно приложению 4.
2. Администратору ЛВС ДЗМ привести параметры парольной политики домена dzm.local, локальных, доменных, служебных и привилегированных учетных записей в соответствие с Положением по организации парольной защиты и Положением о регистрации пользователей в информационной сети ДЗМ. Заблокировать доступ к внешним почтовым системам и файлообменным ресурсам. Ограничить использование съемных USB-носителей информации. Указанные настройки информационной системы ДЗМ произвести в срок до 29.12.2014.
3. Начальникам структурных подразделений организовать ознакомление работников отдела с требованиями Положений в срок до 26.12.2014.
4. Начальникам структурных подразделений обеспечить выполнение требований Положений в практической работе.
5. Управлению правового обеспечения и кадровой политики обеспечить своевременное предоставление Управлению делами и координации деятельности Департамента информации о кадровых изменениях Департамента здравоохранения города Москвы.
Контроль за исполнением приказа оставляю за собой.

Министр Правительства Москвы,
руководитель Департамента
здравоохранения города Москвы
А.И. Хрипун





Приложение 1
к приказу Департамента
здравоохранения города Москвы
от 22 декабря 2014 г. № 1089

ПОЛОЖЕНИЕ
ПО РЕГИСТРАЦИИ ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННЫХ
СИСТЕМ ДЕПАРТАМЕНТА ЗДРАВООХРАНЕНИЯ ГОРОДА МОСКВЫ

1. Общие положения

1.1. Данное Положение регламентирует организационно-техническое обеспечение процессов создания, смены и прекращения действия учетных записей в информационной системе Департамента здравоохранения города Москвы (далее - ДЗМ).
1.2. Требования настоящего Положения являются неотъемлемой частью комплекса мер безопасности и защиты информации ДЗМ.
1.3. Требования настоящего Положения распространяются на всех работников подразделений, использующих в работе средства вычислительной техники, и должны применяться для всех средств вычислительной техники, эксплуатируемой в ДЗМ.
1.4. Организационное обеспечение создания, внесения изменений и прекращения действия учетных записей во всех информационных системах ДЗМ и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на Управление делами и координации деятельности Департамента здравоохранения города Москвы. Техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей возлагается на администратора локальной вычислительной сети (далее - администратор ЛВС) ДЗМ.
1.5. Ознакомление всех работников ДЗМ, использующих средства вычислительной техники, с требованиями Положения проводят руководители структурных подразделений.

2. Термины и определения

Администратор ЛВС ДЗМ - должностное лицо, осуществляющее комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации в локальной вычислительной сети (ЛВС).
Внештатный сотрудник - работник подведомственной организации.
Информационная система (ИС) - совокупность программных и аппаратных средств, предназначенных для хранения, передачи и обработки данных и информации и производства вычислений.
Информационная безопасность (ИБ) - обеспечение защищенности информации (ее конфиденциальности, целостности, доступности) от широкого спектра угроз с целью обеспечения непрерывности процесса и минимизации рисков.
Учетная запись - информация о сетевом пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.).
Пользователь - сотрудник, использующий ресурсы ИС ДЗМ для выполнения своих должностных обязанностей.
Принцип минимальных привилегий - принцип, согласно которому каждому субъекту системы предоставляется минимальный набор полномочий (или минимальный допуск), необходимый для выполнения вверенных задач. Применение этого принципа ограничивает ущерб, наносимый в случае случайного, ошибочного или несанкционированного использования.

3. Порядок регистрации в ИС ДЗМ

3.1. Регистрация Пользователя производится администратором ЛВС ДЗМ на основании заявки (приложение 1), направляемой руководителем структурного подразделения сотрудника ДЗМ, для которого создается учетная запись, на имя начальника Управления делами и координации деятельности Департамента.
3.2. При составлении заявки необходимо указывать, является ли лицо, запрашивающее регистрацию в ИС ДЗМ, сотрудником Департамента или внештатным сотрудником. Указанная информация подтверждается Управлением правового обеспечения и кадровой политики.
3.3. При регистрации пользователь получает персональные реквизиты - сетевое имя пользователя (логин) и пароль.
3.4. Пароль первоначально формируется администратором ЛВС, а в дальнейшем выбирается пользователем самостоятельно с учетом требований, изложенных в Положении по организации парольной защиты в Департаменте здравоохранения города Москвы.
3.5. При регистрации пользователю предоставляется доступ к информационным ресурсам ДЗМ. Уровень доступа определяется исходя из принципа минимальных привилегий.

4. Временные учетные записи

4.1. Для предоставления временного доступа к ресурсам ИС ДЗМ лицам, не являющимся штатными сотрудниками ДЗМ, создаются временные учетные записи.
4.2. Порядок предоставления временной учетной записи аналогичен порядку регистрации в ИС ДЗМ сотрудников ДЗМ (п. 3).
4.3. Временная учетная запись - учетная запись, имеющая ограничение по сроку действия. Срок действия временной учетной записи определен в п. 5.4.
4.4. По окончании срока действия временной учетной записи указанного срока учетная запись пользователя блокируется.
4.5. Продление действия временной учетной записи возможно на срок, не превышающий временной диапазон, указанный в п. 5.4.
4.6. Продление срока действия временной учетной записи производится администратором ЛВС ДЗМ на основании заявки (приложение 2), направляемой руководителем структурного подразделения внештатного сотрудника, на имя начальника Управления делами и координации деятельности ДЗМ.

5. Сроки действия регистрации пользователя ЛВС ДЗМ

5.1. Для сотрудников ДЗМ регистрация считается действительной до момента окончания трудовых отношений либо до наступления других обстоятельств, требующих внесения изменений в учетную запись, а именно:
- смена фамилии;
- изменение занимаемой должности;
- переход в другое структурное подразделение.
5.2. В случае прекращения трудовых отношений с сотрудником ДЗМ Управление правового обеспечения и кадровой политики незамедлительно информирует об этом Управление делами и координации деятельности ДЗМ для принятия мер по блокированию учетной записи пользователя.
5.3. В случае необходимости внесения изменений в учетную запись пользователя изменения могут быть внесены по представлению руководителя структурного подразделения, в котором работает сотрудник (внештатный сотрудник).
5.4. Срок действия регистрации для внештатных сотрудников составляет один месяц.

6. Контроль

6.1. Повседневный контроль над соблюдением требований данного Положения заключается в контроле процессов использования и изменения учетных записей, процессов доступа к ресурсам, процессов изменения учетных записей и предоставления доступа к ресурсам ИС ДЗМ администратором ЛВС ДЗМ.
6.2. Управление делами и координации деятельности Департамента проводит ежеквартальный контроль выполнения работниками ДЗМ требований Положения. О фактах неисполнения требований Положения сообщается руководителю ДЗМ в форме служебной записки.

7. Ответственность

7.1. Сотрудники и должностные лица ДЗМ несут персональную ответственность за несоблюдение требований настоящего Положения.
7.2. Форма и размер ответственности определяются исходя из вида и размера ущерба, нанесенного ресурсам ИС ДЗМ действиями либо бездействием сотрудника или должностного лица.





Приложение 1
к Положению по регистрации
пользователей информационных
систем ДЗМ

ЗАЯВКА
на регистрацию пользователя в ИС Департамента здравоохранения города Москвы

Начальнику Управления делами и
координации деятельности Департамента
Никонову Е.Л.

"___" ________ 20___ года

В связи с возникшей производственной необходимостью прошу зарегистрировать
сотрудника/внештатного сотрудника в ИС ДЗМ.
ненужное зачеркнуть
___________________________________________________________________________
(ФИО)
___________________________________________________________________________
(должность)
___________________________________________________________________________
(структурное подразделение)
___________________________________________________________________________
(номер служебного телефона)
___________________________________________________________________________
(Желаемая транслитерация фамилии)
___________________________________________________________________________
(перечень решаемых задач, перечень доступных информационных ресурсов)
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________

Руководитель: _________________________________________
(наименование структурного подразделения)

"__" __________ 20__ г. _________ ____________________
(подпись) (фамилия и инициалы)





Приложение 2
к Положению по регистрации
пользователей информационных
систем ДЗМ

ЗАЯВКА
на продление временной регистрации пользователя в ИС Департамента
здравоохранения города Москвы

Начальнику Управления делами
и координации деятельности Департамента
Никонову Е.Л.

"___" __________ 20___ года

В связи с возникшей производственной необходимостью прошу продлить
временную регистрацию внештатного сотрудника в ИС ДЗМ на ______ дня/недели.
Ненужное
зачеркнуть
___________________________________________________________________________
(ФИО)
___________________________________________________________________________
(должность)
___________________________________________________________________________
(структурное подразделение)
___________________________________________________________________________
(номер служебного телефона)
___________________________________________________________________________

Руководитель: _____________________________________________________
(наименование структурного подразделения)
"___" _____________ 20___ г. ___________ ______________________
(подпись) (фамилия и инициалы)





Приложение 2
к приказу Департамента
здравоохранения города Москвы
от 22 декабря 2014 г. № 1089

ПОЛОЖЕНИЕ
ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ В ДЕПАРТАМЕНТЕ
ЗДРАВООХРАНЕНИЯ ГОРОДА МОСКВЫ

1. Общие положения

1.1. Данное Положение регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационной системе Департамента здравоохранения города Москвы (далее - ДЗМ), меры обеспечения безопасности при использовании паролей, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
1.2. Требования настоящего Положения являются неотъемлемой частью комплекса мер безопасности и защиты информации ДЗМ.
1.3. Требования настоящего Положения распространяются на всех работников подразделений, использующих в работе средства вычислительной техники, и должны применяться для всех средств вычислительной техники, эксплуатируемой в ДЗМ.
1.4. Организационное обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех информационных системах ДЗМ и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на Управление делами и координации деятельности Департамента здравоохранения города Москвы. Техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей возлагается на администратора локальной вычислительной сети (далее - администратор ЛВС) ДЗМ.
1.5. Ознакомление всех работников ДЗМ, использующих средства вычислительной техники, с требованиями Положения проводят руководители структурных подразделений. При ознакомлении с Положением внимание работников акцентируется на предупреждении их о персональной ответственности за разглашение парольной информации.

2. Термины и определения

Информационная система (ИС) - совокупность программных и аппаратных средств, предназначенных для хранения, передачи и обработки данных и информации и производства вычислений.
Информационная безопасность (ИБ) - обеспечение защищенности информации (ее конфиденциальности, целостности, доступности) от широкого спектра угроз с целью обеспечения непрерывности процесса и минимизации рисков.
Учетная запись - информация о сетевом пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.).
Принцип минимальных привилегий - принцип, согласно которому каждому субъекту системы предоставляется минимальный набор полномочий (или минимальный допуск), необходимый для выполнения вверенных задач. Применение этого принципа ограничивает ущерб, наносимый в случае случайного, ошибочного или несанкционированного использования.
Компрометация - утрата доверия к тому, что информация недоступна посторонним лицам.
Ключевой носитель - электронный носитель (дискета, флэш-накопитель, компакт-диск и т.п.), на котором находится ключевая информация (сертификаты и т.п.).

3. Общие требования к паролям


2.1. Пароли доступа ко всем информационным ресурсам первоначально формируются администратором ЛВС, а в дальнейшем выбираются пользователями самостоятельно, но с учетом требований, изложенных ниже.
2.2. Личные пароли пользователей автоматизированной системы Организации должны выбираться с учетом следующих требований:
- длина пароля должна быть не менее 8 символов;
- в числе символов пароля обязательно должны присутствовать буквы, цифры и (или) специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, p@ssw0rd и т.п.);
- при смене пароля новый пароль должен отличаться от старого не менее чем двумя символами.
2.3. Пароли служебных и привилегированных учетных записей автоматизированной системы должны выбираться с учетом следующих требований:
- длина пароля должна быть не менее 12 символов;
- в числе символов пароля обязательно должны присутствовать цифры и (или) специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, p@ssw0rd и т.п.), пароль не должен быть словом русского либо английского языка, в котором заменены некоторые символы (o->0, s->$, a->@ и т.п.);
- при смене пароля новый пароль должен отличаться от старого не менее чем четырьмя символами, расположенными не подряд;
- при создании паролей служебных учетных записей возможно использование специализированного программного обеспечения для генерации сложных для подбора легко запоминаемых паролей.

4. Безопасность локальных учетных записей


3.1. Локальные учетные записи компьютеров (Administrator, Guest) предназначены для служебного использования администратором ЛВС при настройке систем и не предназначены для повседневной работы.
3.2. Создание и использование локальных учетных записей на рабочих станциях, подключенных к ИС ДЗМ и входящих в состав домена, пользователям запрещено.
3.3. Встроенная учетная запись Guest (Гость) должна быть заблокирована на всех рабочих станциях в составе ИС ДЗМ при первоначальном конфигурировании операционной системы.
3.4. Встроенная учетная запись Administrator (Администратор) должна быть защищена паролем согласно п. 2.3 настоящей инструкции.
3.5. BIOS рабочих станций в составе ИС ДЗМ должна быть защищена паролем согласно п. 2.3 настоящей инструкции.

5. Безопасность доменных учетных записей


4.1. Пользователь несет персональную ответственность за сохранение в тайне личного пароля. Запрещается сообщать пароль другим лицам, а также хранить записанный пароль в общедоступных местах.
4.2. В случае производственной необходимости (командировка, отпуск и т.п.) при проведении проверочных мероприятий, выполняемых отделом информационных технологий и требующих знания пароля пользователя, допускается раскрытие значений своего пароля начальникам этих подразделений. По окончании производственных или проверочных работ работники самостоятельно производят немедленную смену значений "раскрытых" паролей.
4.3. В случае возникновении нештатных ситуаций, форс-мажорных обстоятельств, а также технологической необходимости использования имен и паролей работников (в их отсутствие) допускается изменение паролей администратором ЛВС. В подобных случаях сотрудники, чьи пароли были изменены, обязаны сразу же после выяснения факта смены своих паролей создать их новые значения.
4.4. Пароли учетных записей пользователей ИС ДЗМ должны соответствовать требованиям п. 2.2 настоящего Положения.
4.5. К управлению доменными учетными записями пользователей необходимо подходить исходя из принципа "минимальных привилегий", т.е. пользователь не должен иметь прав доступа как к локальной системе, так и к ресурсам ИС ДЗМ больше, чем это необходимо ему для выполнения своих должностных обязанностей.
4.6. Полная плановая смена паролей пользователей должна проводиться регулярно не реже одного раза в 2 месяца. Плановая смена должна предусматривать информирование пользователя о необходимости сменить пароль и возможность смены пароля без обращения к администратору сети.
4.7. Внеплановая смена личного пароля или удаление учетной записи пользователя информационной системы в случае прекращения его полномочий (увольнение и т.п.) должна производиться администратором ЛВС немедленно после окончания последнего сеанса работы данного пользователя с системой.
4.8. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на работу в другое подразделение внутри Организации и другие обстоятельства) администратора ЛВС и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой ИС ДЗМ.
4.9. В случае компрометации личного пароля пользователя ИС ДЗМ либо подозрения на компрометацию должны быть немедленно предприняты меры по внеплановой смене личного пароля самим пользователем.
4.10. Смена забытого пользовательского пароля производится администратором ЛВС на основании сообщения пользователя с обязательной установкой параметра "Требовать смену пароля при следующем входе в систему".
4.11. Для предотвращения угадывания паролей администратор ЛВС обязан настроить механизм блокировки учетной записи на 20 минут при пятикратном неправильном вводе пароля.
4.12. При временном оставлении рабочего места в течение рабочего дня рабочая станция в обязательным порядке блокируется нажатием комбинации клавиш "Win + L".
4.13. При возникновении вопросов, связанных с использованием доменных учетных записей, пользователь ИС ДЗМ обязан обратиться к администратору ЛВС ДЗМ.

6. Временные учетные записи

6.1. Для предоставления временного доступа к ресурсам ИС ДЗМ лицам, не являющимся сотрудниками ДЗМ, необходимо использовать процедуру временных учетных записей.
6.2. Временная учетная запись - учетная запись, имеющая ограничение по времени действия.
6.3. Порядок получения, продления в случае необходимости временных учетных записей определяется в Положении о регистрации пользователей информационных систем ДЗМ.

7. Безопасность служебных и привилегированных
учетных записей

7.1. К служебным учетным записям относятся учетные записи, используемые отделами либо техническим персоналом ИС ДЗМ для доступа к ресурсам, необходимым для выполнения их функций. К привилегированным учетным записям относятся учетные записи, используемые для управления работой ИС ДЗМ.
7.2. При использовании привилегированных учетных записей (администратора) необходимо руководствоваться принципом "минимальных привилегий", т.е. привилегии администратора должны использоваться только администратором и только если выполняемая задача требует наличия таких привилегий.
7.3. Использование привилегированных учетных записей в повседневной работе, не связанной с необходимостью их использования (установка, конфигурирование, восстановление и т.п. операционной системы и сервисов), недопустимо, в случае необходимости запуска программы с правами Администратора пользователь обязан использовать команду "Run As..." либо "вторичный вход в систему".
7.4. Учетная запись администратора домена должна использоваться только при установке, конфигурировании, восстановлении контроллера домена и иных действиях, при которых использование других учетных записей невозможно. Для этой учетной записи необходимо подробное протоколирование всех событий ее использования, а также немедленное расследование любого нецелевого ее использования.
7.5. Использование принципа "минимальных привилегий" необходимо для служб и сервисов, выполняющихся на серверах ИС ДЗМ, т.е. службы и сервисы должны работать с минимально возможными для их корректной работы привилегиями исходя из следующей иерархии:
- локальная служба;
- сетевая служба;
- уникальная учетная запись локального пользователя;
- уникальная учетная запись пользователя домена;
- локальная система;
- учетная запись локального администратора;
- учетная запись администратора домена.
7.6. К серверам высокой степени безопасности (контроллеры домена, серверы баз данных, иные серверы, от которых зависит бесперебойная работа ИС ДЗМ) необходимо предъявлять повышенные требования к минимизации привилегий доступа со стороны как удаленных, так и локальных пользователей и служб.
7.7. В случае компрометации либо подозрения на компрометацию привилегированной учетной записи необходима внеплановая смена паролей всех зависящих от нее учетных записей.

8. Контроль

8.1. Повседневный контроль над соблюдением требований данного Положения заключается в контроле процессов использования и изменения учетных записей, процессов доступа к ресурсам, процессов изменения учетных записей и предоставления доступа к ресурсам ИС ДЗМ администратором ЛВС ДЗМ.
8.2. Управление делами и координации деятельности ДЗМ проводит ежеквартальный выборочный контроль выполнения работниками ДЗМ требований Положения. О фактах несоответствия качества паролей или условий обеспечения их сохранности сообщается руководителю ДЗМ в форме служебной записки.

9. Ответственность

9.1. Пользователи ИС ДЗМ несут персональную ответственность за несоблюдение требований по парольной защите.
9.2. Администратор ЛВС, сотрудники отдела информационных технологий несут ответственность за компрометацию и нецелевое использование привилегированных учетных записей.
9.3. Форма и размер ответственности определяются исходя из вида и размера ущерба, нанесенного ресурсам ИС ДЗМ действиями либо бездействием соответствующего пользователя.





Приложение 3
к приказу Департамента
здравоохранения города Москвы
от 22 декабря 2014 г. № 1089

ПОЛОЖЕНИЕ
ОБ ИСПОЛЬЗОВАНИИ МОБИЛЬНЫХ УСТРОЙСТВ И НОСИТЕЛЕЙ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В ДЕПАРТАМЕНТЕ ЗДРАВООХРАНЕНИЯ
ГОРОДА МОСКВЫ

1. Общие положения


1.1. Настоящее Положение разработано в соответствии с Федеральным законом № 149-ФЗ от 26.07.2006 "Об информации, информационных технологиях и о защите информации", ГОСТ Р ИСО/МЭК 17799-2005 "Практические правила управления информационной безопасностью" и другими нормативными правовыми актами и устанавливает порядок использования сети Интернет и электронной почты работниками Департамента здравоохранения города Москвы (далее - ДЗМ).
1.2. Требования настоящего Положения являются неотъемлемой частью комплекса мер безопасности и защиты информации ДЗМ.
1.3. Действие настоящего Положения распространяется на сотрудников ДЗМ, внештатных сотрудников и третьих лиц, имеющих доступ к информационным ресурсам ДЗМ и подключенных к сети Интернет.

2. Основные термины, сокращения и определения

АРМ - автоматизированное рабочее место пользователя (ПК с прикладным ПО) для выполнения определенной производственной задачи.
Администратор - должностное лицо, осуществляющее комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.
ИС - информационная система - система, обеспечивающая хранение, обработку, преобразование и передачу информации с использованием компьютерной и другой техники.
Мобильное устройство - переносное электронно-вычислительное устройство, способное принимать, отображать, хранить, обрабатывать и передавать информацию.
Носитель информации - любой материальный объект, используемый для хранения и передачи электронной информации.
ПК - персональный компьютер.
ПО - Программное обеспечение вычислительной техники.
ПО вредоносное - ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.
ПО коммерческое - ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.
Пользователь - сотрудник, использующий мобильные устройства и носители информации для выполнения своих служебных обязанностей.
Перечень - документ "Перечень разрешенного к использованию ПО". Содержит перечень коммерческого, свободно распространяемого ПО, разрешенного к использованию в ДЗМ.

3. Порядок использования мобильных устройств
и носителей информации

3.1. Под использованием мобильных устройств и носителей информации в ИС ДЗМ понимается их подключение к инфраструктуре ИС с целью обработки, приема/передачи информации между ИС и мобильными устройствами, а также носителями информации.
3.2. В ИС допускается использование только учтенных мобильных устройств и носителей информации, которые являются собственностью ДЗМ и подвергаются регулярной ревизии и контролю. Все неучтенные мобильные устройства при попытке установки соединения с ИС ДЗМ попадают в гостевую подсеть, не имеющую доступа к информационным ресурсам ДЗМ. Использование неучтенных съемных носителей информации заблокировано.
3.3. На предоставленных ДЗМ мобильных устройствах допускается использование коммерческого и свободно распространяемого ПО, входящего в Перечень разрешенного к использованию.
3.4. К предоставленным Организацией мобильным устройствам и носителям информации предъявляются те же требования по защите информации, что и для стационарных АРМ.
3.5. Мобильные устройства и носители информации предоставляются сотрудникам ДЗМ по инициативе руководителей структурных подразделений в случае возникновения у сотрудника производственной необходимости.
3.6. Процесс предоставления сотруднику ДЗМ мобильных устройств и носителей информации состоит из следующих этапов:
3.6.1. Подготовка заявки (приложение 1) в утвержденной форме осуществляется руководителем структурного подразделения на имя начальника Управления делами и координации деятельности ДЗМ.
3.6.2. Согласование подготовленной заявки (для получения заключения о возможности предоставления сотруднику ДЗМ заявленного мобильного устройства или носителя информации) с генеральным директором Информационно-аналитического центра ДЗМ.
3.6.3. Передача заявки администратору для учета предоставленного мобильного устройства или носителя информации и внесения изменений в Список работников Организации, имеющих право работы с мобильными устройствами вне территории ДЗМ, а также выполнения технических настроек по регистрации мобильного устройства в ИС или предоставлению права использования носителей информации на АРМах ДЗМ (в случае согласования заявки начальником Управления делами и координации деятельности ДЗМ).
3.7. При использовании предоставленных сотрудникам ДЗМ мобильных устройств и носителей информации необходимо:
3.7.1. Соблюдать требования настоящего Положения.
3.7.2. Использовать мобильные устройства и носители информации исключительно для выполнения своих служебных обязанностей.
3.7.3. Эксплуатировать и транспортировать мобильные устройства и носители информации в соответствии с требованиями производителей.
3.7.4. Обеспечивать физическую безопасность мобильных устройств и носителей информации всеми разумными способами.
3.7.5. Извещать администраторов о фактах утраты (кражи) мобильных устройств и носителей информации.
3.8. При использовании предоставленных сотрудникам ДЗМ мобильных устройств и носителей информации запрещено:
3.8.1. Использовать мобильные устройства и носители информации в личных целях.
3.8.2. Передавать мобильные устройства и носители информации другим лицам (за исключением работников отдела информационных технологий и администратора).
3.8.3. Оставлять мобильные устройства и носители информации без присмотра, если не предприняты действия по обеспечению их физической безопасности.
3.9. Любая попытка взаимодействия, инициированная сотрудниками ДЗМ, между ИС и неучтенными (личными) мобильными устройствами, а также носителями информации рассматривается как несанкционированное (за исключением случаев, оговоренных с администраторами заранее).
3.10. Информация об использовании сотрудниками ДЗМ мобильных устройств и носителей информации в ИС протоколируется и при необходимости может быть предоставлена руководителям структурных подразделений, а также руководителю ДЗМ.
3.11. При подозрении сотрудника ДЗМ в несанкционированном или нецелевом использовании мобильных устройств и носителей информации инициализируется расследование допущенных нарушений, производимое Управлением делами и координации деятельности ДЗМ.
3.12. Информация, хранящаяся на предоставляемых Организацией мобильных устройствах и носителях информации, подлежит обязательной проверке на отсутствие вредоносного ПО.
3.13. Съемные носители конфиденциальной информации (персональных данных), пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется уполномоченной комиссией. По результатам уничтожения носителей составляется акт по прилагаемой форме.
3.14. В случае увольнения или перевода работника в другое структурное подразделение предоставленные ему мобильные устройства и носители информации изымаются.

4. Ответственность

4.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами ДЗМ.





Приложение 1
к Положению об использовании
мобильных устройств
и носителей информации в ДЗМ

ЗАЯВКА
на предоставление работнику Департамента здравоохранения города Москвы
мобильного устройства/носителя информации

Начальнику Управления делами
и координации деятельности Департамента
Никонову Е.Л.

"___" ___________ 20___ года

В связи с возникшей производственной необходимостью прошу предоставить
следующему работнику:
___________________________________________________________________________
(ФИО)
___________________________________________________________________________
(должность)
___________________________________________________________________________
(структурное подразделение)
___________________________________________________________________________
(номер служебного телефона)
___________________________________________________________________________
(наименование мобильного устройства/носителя информации)
___________________________________________________________________________
(перечень задач, решаемых с использованием мобильного
устройства/носителя информации)
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________

Руководитель: _______________________________________________________
(наименование структурного подразделения)

"___" ___________ 20___ г. ______________ _______________________
(подпись) (фамилия и инициалы)





Приложение 4
к приказу Департамента
здравоохранения города Москвы
от 22 декабря 2014 г. № 1089

ПОЛОЖЕНИЕ
ОБ ИСПОЛЬЗОВАНИИ СЕТИ ИНТЕРНЕТ И ЭЛЕКТРОННОЙ ПОЧТЫ
В ДЕПАРТАМЕНТЕ ЗДРАВООХРАНЕНИЯ ГОРОДА МОСКВЫ

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с Федеральным законом № 149-ФЗ от 26.07.2006 "Об информации, информационных технологиях и о защите информации", ГОСТ Р ИСО/МЭК 17799-2005 "Практические правила управления информационной безопасностью" и другими нормативными правовыми актами и устанавливает порядок использования сети Интернет и электронной почты работниками Департамента здравоохранения города Москвы (далее - ДЗМ).
1.2. Требования настоящего Положения являются неотъемлемой частью комплекса мер безопасности и защиты информации ДЗМ.
1.3. Действие настоящего Положения распространяется на сотрудников ДЗМ, внештатных сотрудников и третьих лиц, имеющих доступ к информационным ресурсам ДЗМ и подключенных к сети Интернет.

2. Основные термины, сокращения и определения

Адрес IP - уникальный идентификатор АРМ, подключенного к локальной вычислительной сети, а также сети Интернет.
АРМ - автоматизированное рабочее место пользователя (персональный компьютер с прикладным ПО) для выполнения определенной производственной задачи.
Интернет - глобальная ИС, обеспечивающая удаленный доступ к ресурсам различного содержания и направленности.
ИС - информационная система - система, обеспечивающая хранение, обработку, преобразование и передачу информации с использованием компьютерной и другой техники.
ИТ - информационные технологии - совокупность методов и процессов, обеспечивающих хранение, обработку, преобразование и передачу информации с использованием средств компьютерной и другой техники.
ПК - персональный компьютер.
ПО - программное обеспечение вычислительной техники, базы данных.
ПО вредоносное - ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности критичной информации.
ПО коммерческое - ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.
Пользователь - сотрудник, использующий ресурсы Интернет для выполнения своих должностных обязанностей.
Реестр - документ "Реестр разрешенного к использованию ПО". Содержит перечень коммерческого ПО, разрешенного к использованию в ДЗМ.
Электронная почта - сервис обмена электронными сообщениями в рамках ИС ДЗМ (внутренняя электронная почта) и общедоступных сетей Интернет (внешняя электронная почта).
Электронное почтовое сообщение - сообщение, формируемое отправителем с помощью почтового клиента и предназначенное для передачи получателю посредством электронной почты.
Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.
Электронный почтовый ящик - персональное пространство на почтовом сервере, в котором хранятся электронные сообщения.

3. Порядок использования сети Интернет

3.1. Доступ в сеть Интернет в ИС ДЗМ осуществляется централизованно с применением специальных программно-технических средств защиты (межсетевых экранов).
3.2. На рабочих местах, подключенных к сети Internet, в обязательном порядке должно быть установлено антивирусное программное обеспечение с актуальной антивирусной базой.
3.3. Доступ к сети Интернет предоставляется Пользователю в целях выполнения им своих служебных обязанностей.
3.4. Для доступа Пользователя к сети Интернет допускается применение коммерческого или бесплатного ПО, входящего в Реестр разрешенного к использованию в ДЗМ ПО.
3.5. При использовании доступа к сети Интернет необходимо:
3.5.1. Соблюдать требования настоящего Положения.
3.5.2. Использовать сеть Интернет исключительно для выполнения своих служебных обязанностей.
3.5.3. Типичные угрозы при работе с Сервисами и рекомендации по их предотвращению приведены в приложении № 1.
3.5.4. Общие меры предосторожности при работе с Сервисами приведены в приложении № 2.
3.6. При использовании доступа к сети Интернет запрещено:
3.6.1. Использовать предоставленный ДЗМ доступ к сети Интернет в личных целях.
3.6.2. Использовать специализированные аппаратные и программные средства, позволяющие Пользователям получить несанкционированный доступ к сети Интернет.
3.6.3. Публиковать, загружать и распространять материалы, содержащие:
- конфиденциальную информацию, а также информацию, составляющую коммерческую тайну, персональные данные, за исключением случаев, когда это входит в служебные обязанности и способ передачи является безопасным, согласованным с Управлением делами и координации деятельности ДЗМ;
- информацию, полностью или частично защищенную авторскими или другими правами, без разрешения владельца;
- вредоносное ПО, предназначенное для нарушения, уничтожения либо ограничения функциональности любых аппаратных и программных средств, для осуществления несанкционированного доступа, а также серийные номера к коммерческому ПО и ПО для их генерации, пароли и прочие средства для получения несанкционированного доступа к платным интернет-ресурсам, а также ссылки на вышеуказанную информацию;
- угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, и т.д.
3.6.4. Фальсифицировать свой IP-адрес, а также прочую служебную информацию.
3.6.5. Распространять и устанавливать на других рабочих местах любое программное обеспечение и данные, полученные с использованием доступа к сети Интернет.
3.6.6. Осуществлять попытки несанкционированного доступа к ресурсам Сети, проведение сетевых атак и сетевого взлома и участие в них.
3.6.7. Публиковать свой электронный адрес либо электронный адрес других работников ДЗМ на общедоступных интернет-ресурсах (форумы, конференции и т.п.).
3.6.8. Запрещается использование в качестве паролей для доступа к ресурсам сети Интернет паролей, аналогичных паролям, используемым для доступа к информационным ресурсам ДЗМ.
3.6.9. Запрещается отключать установленное на АРМ антивирусное программное обеспечение.
3.7. Содержание интернет-ресурсов, а также файлы, загружаемые из сети Интернет, подлежат обязательной проверке на отсутствие вредоносного ПО.
3.8. Информация о посещаемых сотрудниками интернет-ресурсах протоколируется для последующего анализа и при необходимости может быть предоставлена руководителям структурных подразделений, а также руководителю ДЗМ.
3.9. Управление делами и координации деятельности ДЗМ оставляет за собой право блокировать или ограничивать доступ пользователей к интернет-ресурсам, содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены международным и российским законодательством.

4. Порядок пользования электронной почтой

4.1. Использование личной почты в служебных целях запрещено.
4.2. При пользовании корпоративной электронной почтой необходимо:
4.2.1. Соблюдать требования настоящего Положения.
4.2.2. Использовать предоставляемую электронную почту исключительно для выполнения своих служебных обязанностей.
4.3. При пользовании корпоративной электронной почтой запрещено:
4.3.1. По собственной инициативе осуществлять рассылку (в том числе и массовую) электронных сообщений, если рассылка не связана с выполнением служебных обязанностей.
4.3.2. Использовать адрес электронной почты для оформления подписки на периодическую рассылку материалов из сети Интернет, не связанных с исполнением служебных обязанностей.
4.3.3. Предоставлять другим сотрудникам (за исключением сотрудников отдела информационных технологий) и третьим лицам доступ к своему электронному почтовому ящику.
4.3.4. Перенаправлять электронные сообщения с личных почтовых ящиков на корпоративный.
4.4. Управление делами и координации деятельности ДЗМ оставляет за собой право доступа к электронным сообщениям работников с целью их архивирования и централизованного хранения, а также мониторинга выполнения требований настоящего Положения.
4.5. В случае нарушения пунктов Положения Управление делами и координации деятельности ДЗМ вправе отключить Пользователя от предоставляемых Сервисов, уведомив об этом руководство структурного подразделения.

5. Ответственность

5.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами ДЗМ.

6. Заключительные положения

6.1. Контроль над соблюдением требований данного Положения возложен на Управление делами и координации деятельности ДЗМ.





Приложение № 1
к Положению об использовании
сети Интернет и электронной почты
в Департаменте здравоохранения
города Москвы

ТИПИЧНЫЕ УГРОЗЫ ПРИ РАБОТЕ С СЕТЬЮ ИНТЕРНЕТ
И ЭЛЕКТРОННОЙ ПОЧТОЙ

№ п/п
Угроза
Примечание
Рекомендуемые меры предосторожности
1.
Заражение компьютера вирусом
Чаще всего заражение вирусами происходит при посещении специально созданных "вредоносных" веб-страниц, "хакерских" сайтов, сайтов "для взрослых"
- не посещать перечисленные сайты;
- установить, своевременно обновлять и не отключать антивирусное программное обеспечение
2.
Заражение компьютера вирусом при просмотре почтовых сообщений
Обычно происходит при открытии прикрепленного к письму файла
- не открывать письма, если электронный адрес отправителя вам не знаком или выглядит "странно";
- не открывать прикрепленные файлы, если отправитель письма вам неизвестен;
- установить, своевременно обновлять и не отключать антивирусное программное обеспечение
3.
Утечка информации с рабочей станции
Уязвимым может оказаться программное обеспечение (чаще всего таковым является свободно распространяемое ПО, а также ПО от неизвестных или малоизвестных производителей). Также причиной утечки может оказаться заражение компьютера вирусом
- использовать только принятое к использованию в Организации программное обеспечение;
- установить, своевременно обновлять и не отключать антивирусное программное обеспечение
4.
Предоставление возможности удаленного управления компьютером
Такая возможность может быть получена как с ведома пользователя (при использовании им ПО, выполняющего данную функцию), так и без его ведома (при заражении компьютера вирусом)
- использовать только принятое к использованию в Организации программное обеспечение;
- установить, своевременно обновлять и не отключать антивирусное программное обеспечение
5.
Потеря функциональности (полной или частичной) рабочей станцией
Чаще всего это происходит вследствие использования уязвимостей программного обеспечения злоумышленником или из-за заражения вирусом
- использовать только принятое к использованию в Организации программное обеспечение;
- установить, своевременно обновлять и не отключать антивирусное программное обеспечение
6.
Кража личной информации
Чаще всего к этому приводит ввод такой информации на веб-страницах, в том числе сайтах-двойниках, которые внешне идентичны настоящим сайтам (например, сайту банка), но на самом деле являются подделкой
- не открывать письма (и особенно вложения) от незнакомых адресатов;
- внимательно проверять адрес страницы, на которой вы собираетесь оставить личную информацию;
- не сохранять пароли в формах веб-страниц
7.
Захват адресов электронной почты, веб-страниц и т.п.
Чаще всего к этому приводит использование "слабого" пароля для доступа к ресурсу, а также подбор ответа на контрольной вопрос, используемый для восстановления пароля в случае его возможной утери
- использовать "стойкие" пароли (от 7 символов с использованием букв различного регистра и цифр);
- не использовать в качестве ответов на контрольные вопросы (и, конечно, в качестве самих паролей) информацию, которую достаточно легко узнать: дату рождения, имя, фамилию (ваши или близких родственников), кличку собаки, девичью фамилию;
- никогда не раскрывать перечисленную выше информацию (если она используется для описанных целей) незнакомым людям;
- не сохранять пароли в формах веб-страниц





Приложение № 2
к Положению об использовании
сети Интернет и электронной почты
в Департаменте здравоохранения
города Москвы

ОБЩИЕ МЕРЫ ПРЕДОСТОРОЖНОСТИ ПРИ РАБОТЕ С СЕТЬЮ ИНТЕРНЕТ
И ЭЛЕКТРОННОЙ ПОЧТОЙ

№ п/п
Мера предосторожности
Примечание
1.
Использование только разрешенного отделом информационных технологий и отделом по защите информации программного обеспечения
Использование нерегламентированного ПО может привести к утечке информации, заражению компьютера вирусом, выходу компьютера из строя из-за ошибок в написании ПО. Ответственность возлагается на пользователя
2.
Отслеживание появления обновлений ПО, используемого на компонентах АС Организации, взаимодействующих с сетью Интернет
ПО может содержать уязвимости, использование которых злоумышленником может привести к утере информации, выходу компонента из строя. Ответственность возлагается на администраторов соответствующих компонентов
3.
В случае обнаружения в используемом ПО критических с точки зрения безопасности уязвимостей и невозможности их устранения - приостановить эксплуатацию такого ПО
Используемое ПО может содержать уязвимости, использование которых злоумышленником может привести к утере информации, выходу компонента из строя. Ответственность возлагается на пользователей и администраторов соответствующих компонентов АС Организации
4.
Обязательное использование и своевременное обновление антивирусного ПО на компонентах АС Организации, взаимодействующих с сетью Интернет, в режиме мониторинга событий
Заражение вирусами может произойти и без "интерактивного" участия пользователя - достаточно связи с сетью Интернет. Ответственность возлагается на администраторов соответствующих компонентов
5.
При работе с электронной почтой не открывать письма с вложенными файлами от неизвестных авторов, перед запуском/открытием любых файлов производить их антивирусную проверку
В последнее время наиболее распространенный канал распространения вирусов, а также кражи личной информации - электронная почта. В случае возникновения вопросов необходимо обратиться в отдел по защите информации до принятия решения о дальнейших действиях. Ответственность возлагается на пользователей
6.
Запретить автоматическое сохранение и/или запуск файлов и элементов ActiveX, скриптов из сети Интернет на рабочей станции пользователя
Большинство уязвимостей в программном обеспечении используются через файлы, загружаемые с веб-страниц, или через сами веб-страницы, которые содержат вредоносный/опасный код. Для опытных пользователей с разрешения отдела по защите информации допускается возможность предоставления выбора о необходимости загрузки/запуска таких элементов. Ответственность возлагается на пользователей
7.
Не рекомендуется сохранять пароли в формах при посещении веб-страниц
Это может привести к тому, что кто-то иной воспользуется (в том числе изменит пароль на новый) ресурсом, защищенным паролем. Ответственность возлагается на пользователей


------------------------------------------------------------------