stamp

ПОЛОЖЕНИЕ об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных ОГБУЗ «Инфекционная больница»

  1. Общие положения
  2. Порядок работы персонала в ИС персональных данных в части обеспечения безопасности персональных данных при их обработке в ИСПДн
  3. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных, защищаемой информации и средств защиты информации
  4. Порядок контроля защиты информации в ИСПДн и приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления. Порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей ПД, использования средств защиты информации и принятие мер по предотвращению возможных опасных последствий
  5. Порядок обучения персонала практике работы в ИСПДн в части обеспечения безопасности персональных данных
  6. Порядок проверки электронного журнала обращений к ИСПДн
  7. Правила антивирусной защиты
  8. Правила парольной защиты
  9. Правила обновления общесистемного и прикладного программного обеспечения, технического обслуживания ИСПДн
  10. Порядок контроля соблюдения условий использования средств защиты информации, в том числе криптографических
  11. Заключительные положения

 

СПИСОК СОКРАЩЕНИЙ И ОБОЗНАЧЕНИЙ

АВС — антивирусные средства
АРМ — автоматизированное рабочее место
АС — автоматизированная система
АСЗИ — автоматизированная система в защищенном исполнении
ИСПДн — информационная система персональных данных
КОИ — криптографически опасная информация
ЛВС — локальная вычислительная сеть
МЭ — межсетевой экран
ОС — операционная система
ПДн — персональные данные
ПМВ — программно-математическое воздействие
ПО — программное обеспечение
ПЭМИН — побочные электромагнитные излучения и наводки
САЗ — система анализа защищенности
СЗИ — средства защиты информации
СЗПДн — система (подсистема) защиты персональных данных
СКЗИ — средства криптографической защиты информации
СОВ — система обнаружения вторжений
ТС — техническое средство
УБПДн — угрозы безопасности персональных данных

 




 

1.        Общие положения.

1.1. Данное «Положение об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных ОГБУЗ «Инфекционная больница» (далее — Положение) разработано в соответствии с Законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», методическими рекомендациями ФСТЭК России и ФСБ России в целях обеспечения безопасности персональных данных (далее — ПДн) при их обработке в информационных системах персональных данных (далее — ИСПДн).
1.2. Положение определяет порядок работы персонала ИСПДн в части обеспечения безопасности ПДн при их обработке, порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, разработку и принятие мер по предотвращению возможных опасных последствий таких нарушений, порядок приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления, порядок обучения персонала практике работы в ИСПДн, порядок проверки электронного журнала обращений к ИСПДн, порядок контроля соблюдения условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией, правила обновления общесистемного и прикладного программного обеспечения, правила организации антивирусной защиты и парольной защиты ИСПДн.


 

2.        Порядок работы персонала в информационной системе персональных данных в части обеспечения безопасности персональных данных при их обработке в ИСПДн.

2.1. Допуск пользователей для работы на рабочих станциях ИСПДн осуществляется на основании Списка лиц, допущенных к обработке персональных данных и уровень их полномочий, который утверждается руководителем ОГБУЗ «Инфекционная больница» (далее — Больница).
2.2. Руководителем Больницы назначается ответственный за обеспечение безопасности защиты персональных данных для организации контроля выполнения необходимых мероприятий по обеспечению безопасности.
2.3. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн. Полномочия пользователей к информационным ресурсам определяются в матрице доступа, утверждаемой Руководителем Больницы. При этом для хранения информации, содержащей ПДн, разрешается использовать только машинные носители информации, учтенные в Журнале учета машинных носителей.
2.4. Пользователь несет ответственность за правильность включения и выключения средств вычислительной техники (далее — СВТ), входа в систему и все действия при работе в ИСПДн.
2.5. Запись информации, содержащей ПДн, может, осуществляется пользователем на съемные машинные носители информации, соответствующим образом учтенные в Журнале учета машинных носителей.
2.6. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютерах ИСПДн. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями данного Положения.
2.7. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан:
* строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;
* знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютерах ИСПДн;
* хранить в тайне свой пароль (пароли);
* хранить установленным порядком свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу);
* выполнять требования «Инструкции по организации антивирусной защиты информационных систем персональных данных ОГБУЗ «Инфекционная больница»» в полном объеме.
2.8. Немедленно известить ответственного за обеспечение безопасности защиты персональных данных в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при обнаружении:
* нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на составляющих узлах и блоках СВТ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (далее — НСД) к данным защищаемым СВТ;
* несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн;
* отклонений во время штатной работы системных и прикладных программных средств, затрудняющих эксплуатацию СВТ, выхода из строя или неустойчивого функционирования узлов СВТ или периферийных устройств (сканера, принтера и т.п.), а также перебоев в системе электроснабжения;
* некорректного функционирования установленных на компьютеры технических средств защиты;
* непредусмотренных отводов кабелей и подключенных устройств.
Пользователю категорически запрещается:
* использовать компоненты программного и аппаратного обеспечения ПЭВМ в неслужебных целях;
* самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения;
* осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;
* записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных машинных носителях информации;
* оставлять включенным без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана);
* оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);
* умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации;
* размещать средства ИСПДн так, чтобы с них существовала возможность визуального считывания информации.
2.9. Ответственный за обеспечение безопасности защиты персональных данных обязан:
* знать состав основных и вспомогательных технических систем и средств (далее — ОТСС и ВТСС) установленных и смонтированных в ИСПДн, перечень используемого программного обеспечения (далее — ПО) в ИСПДн;
* контролировать целостность печатей (пломб, защитных наклеек) на периферийном оборудовании, защищенных СВТ и других устройствах;
* производить необходимые настройки подсистемы управления доступом установленных в ИСПДн СЗИ от НСД и сопровождать их в процессе эксплуатации совместно с органом по аттестации, при этом:
* проводить инструктаж сотрудников — пользователей компьютеров по правилам работы с используемыми техническими средствами и системами защиты информации;
* контролировать своевременное (не реже чем один раз в течение 90 дней) проведение смены паролей для доступа пользователей к компьютерам и ресурсам ИСПДн;
* обеспечивать постоянный контроль выполнения сотрудниками установленного комплекса мероприятий по обеспечению безопасности информации в ИСПДн;
* осуществлять контроль порядка создания, учета, хранения и использования резервных и архивных копий массивов данных;
* проводить анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам не реже одного раза в месяц;
* организовывать печать файлов пользователей на принтере и осуществлять контроль соблюдения установленных правил и параметров регистрации и учета бумажных носителей информации. Сопровождать подсистемы обеспечения целостности информации в ИСПДн;
* периодически тестировать функции СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей;
* восстанавливать программную среду, программные средства и настройки СЗИ при сбоях;
* хранить дистрибутивы программных средств СЗИ от НСД в специальном хранилище и вести их учет;
* периодически обновлять антивирусные средства (базы данных), контролировать соблюдение пользователями порядок и правила проведения антивирусного тестирования:
* проводить работу по выявлению возможных каналов вмешательства в процесс функционирования ИСПДн и осуществления несанкционированного доступа к информации и техническим средствам вычислительной техники;
* обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания ИСПДн и отправке его в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта);
* присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию ИСПДн;
* поддерживать установленный порядок проведения антивирусного контроля согласно требований настоящего Положений в случае отказа средств и систем защиты информации принимать меры по их восстановлению;
* докладывать ответственному за обработку персональных данных о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации;
* вести документацию на ИСПДн в соответствии с требованиями нормативных документов.
2.10. Ответственный за обеспечение безопасности защиты персональных данных ИСПДн имеет право:
* требовать от сотрудников — пользователей ИСПДн соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в ИСПДн;
* требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
* участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.
2.11. Все пользователи Управления должны быть ознакомлены с требованиями настоящего порядка в части их касающихся под роспись.


 

3.        Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных, защищаемой информации и средств защиты информации.

3.1. Настоящий порядок определяет организацию резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.
3.2. К использованию, для создания резервной копии в ИСПДн, допускаются только зарегистрированные в журнале учета носители.
3.3. Ответственный за обеспечение безопасности защиты персональных данных или ответственный за организацию обработки персональных данных обязаны осуществлять периодическое резервное копирование конфиденциальной информации.
3.4. Еженедельно, по окончанию работы c конфиденциальными документами (содержащими персональные данные) на компьютере, пользователь, при отсутствии ответственного за обеспечение безопасности защиты персональных данных, обязан создавать резервную копию конфиденциальных документов на зарегистрированный носитель (ЖМД, ГМД, CD, DVD — диски, USB накопитель, другие), создавая тем самым резервный электронный архив конфиденциальных документов.
3.5. Носители информации (ЖМД, ГМД, CD-ROM, USB накопитель, другие), предназначенные для создания резервной копии и хранения конфиденциальной информации выдаются установленным порядком ответственным за обеспечение безопасности защиты персональных данных или ответственным за организацию обработки персональных данных. По окончании процедуры резервного копирования электронные носители конфиденциальной информации сдаются на хранение руководителю структурного подразделения, или ответственному за обеспечение безопасности защиты персональных данных.
3.6. Перед резервным копированием пользователь или ответственный за обеспечение безопасности защиты персональных данных обязан проверить электронный носитель (ЖМД, ГМД, CD-ROM, USB накопитель) на отсутствие вирусов.
3.7. Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль в соответствии с п. 7 настоящего Положения.
3.8. Запрещается запись посторонней информации на электронные носители (ЖМД, ГМД, CD-ROM, USB накопитель и другие) резервной копии.
3.9. Порядок создания резервной копии:
* вставить в компьютер зарегистрированный электронный носитель (ЖМД, ГМД, CD-ROM, USB накопитель, другие) для резервного копирования;
* выбрать необходимый каталог (файл) для создания резервного архива;
* при использовании систем управления базами данных необходимо создать файл с резервной копией защищаемой информации с помощью встроенных средств системы;
* выполнить процедуру создания резервной копии;
* произвести копирование на носитель;
* произвести отключение носителя и, создав необходимые записи в журналах убрать носитель в хранилище.
3.10. Хранение носителя с резервной копией защищаемой информации осуществляется в специальном металлическом хранилище.
3.11. При восстановлении работоспособности программного обеспечения сначала осуществляется резервное копирование защищаемой информации, затем производится полная деинсталляция некорректно работающего программного обеспечения.
3.12. Восстановление программного обеспечения производится путем его инсталляции с использованием эталонных дистрибутивов, хранение которых осуществляется ответственным за обеспечение безопасности защиты персональных данных в специальном хранилище.
3.13. При необходимости ремонта технических средств, с них удаляются опечатывающие пломбы и по согласованию с ответственный за обеспечение безопасности защиты персональных данных, ответственным за организацию обработки персональных данных оборудование передается в сервисный центр. Ремонт носителей защищаемой информации не допускается. Неисправные носители с защищаемой информацией подлежат уничтожению в соответствии с порядком уничтожения носителей защищаемой информации. Работа с использованием неисправных технических средств запрещается.
3.14. При работе на компьютерах ИСПДн рекомендуется использовать источники бесперебойного питания, с целью предотвращения повреждения технических средств и (или) защищаемой информации в результате сбоев в сети электропитания.
3.15. При восстановлении работоспособности средств защиты информации следует выполнить их настройку в соответствии с требованиями безопасности информации, изложенными в руководящих документах по защите персональных данных.
3.16. Восстановление средств защиты информации производится с использованием эталонных сертифицированных дистрибутивов, которые хранятся в хранилище. После успешной настройки средств защиты информации необходимо выполнить резервное копирование настроек данных средств с помощью встроенных в них функций на зарегистрированный носитель.
3.17. Ответственность за проведение резервного копирования, мероприятий по восстановлению работоспособности технических средств и программного обеспечения баз данных и проведение мероприятий по восстановлению средств защиты информации в ИСПДн возлагается на ответственного за обеспечение безопасности защиты персональных данных.


 

4.        Порядок контроля защиты информации в ИСПДн и приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления. Порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации и принятие мер по предотвращению возможных опасных последствий

4.1. Контроль защиты информации в ИСПДн — комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения посторонними лицами охраняемых сведений, выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности систем информатизации.
4.2. Основными задачами контроля являются:
* проверка организации выполнения мероприятий по обеспечению безопасности персональных данных в управлении, учета требований по защите информации в разрабатываемых плановых и распорядительных документах;
* оценка достаточности и эффективности мероприятий по защите информации;
* проверка выполнения требований по защите ИСПДн от несанкционированного доступа;
* проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест;
* проверка знаний работников по вопросам защиты информации и их соответствия требованиям уровня подготовки для конкретного рабочего места;
* оперативное принятие мер по пресечению нарушений требований (норм) защиты информации в ИСПДн;
* разработка предложений по устранению выявленных нарушений и недостатков в обеспечении безопасности ПДн.
4.3. В ходе контроля проверяются:
* соответствие принятых мер по обеспечению безопасности персональных данных (далее — ОБ ПДн) на основе Модели угроз безопасности персональных данных;
* своевременность и полнота выполнения требований настоящего Положения и других руководящих документов ОБ ПДн;
* эффективность применения организационных и технических мероприятий по защите информации;
* устранение ранее выявленных недостатков.
4.4. Основными видами технического контроля являются визуально-оптический контроль, контроль несанкционированного доступа к информации и программно-технических воздействий на информацию.
4.5. Полученные в ходе ведения контроля результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений.
4.6. Невыполнение предписанных мероприятий по защите ПДн, считается предпосылкой к утечке информации (далее — предпосылка).
По каждой предпосылке для выяснения обстоятельств и причин невыполнения установленных требований по указанию руководителя управления проводится расследование.
4.7. Одной из форм контроля защиты информации является обследование объектов ИСПДн. Оно проводится не реже одного раза в год рабочей группой в составе ответственного за обеспечение безопасности защиты персональных данных, ответственного за организацию обработки персональных данных, руководителем структурного подразделения.
4.8. Обследование ИСПДн проводится с целью определения соответствия помещений, технических и программных средств, требованиям по защите информации, установленным требованиям по безопасности персональных данных.
4.9. В ходе обследования проверяется:
* соответствие текущих условий функционирования обследуемого объекта ИСПДн условиям, сложившимся на момент проверки;
* соблюдение организационно-технических требований помещений, в которых располагается ИСПДн;
* сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;
* соответствие выполняемых на объекте ИСПДн мероприятий по защите информации данным, изложенным в настоящем положении;
* выполнение требований по защите информационных систем от несанкционированного доступа;
* выполнение требований по антивирусной защите.
4.10. Государственный контроль состояния защиты информации осуществляется Федеральной службы по техническому и экспортному контролю России и Федеральной службой безопасности России в рамках их полномочий в соответствии с действующим законодательством Российской Федерации. Доступ представителей указанных федеральных органов исполнительной власти на объекты для проведения проверки, а также к работам и документам в объеме, необходимом для осуществления контроля, обеспечивается в установленном порядке по предъявлении служебного удостоверения сотрудника, а также документа установленной формы на право проведения проверки.


 

5.        Порядок обучения персонала практике работы в ИСПДн в части обеспечения безопасности персональных данных

5.1. Перед началом работы в ИСПДн пользователи должны ознакомиться с инструкциями по использованию программных и технических средств, по использованию средств защиты информации под роспись.
5.2. Пользователи должны продемонстрировать ответственному за обеспечение безопасности защиты персональных данных и (или) ответственному за организацию обработки персональных данных наличие необходимых знаний и умений для выполнения требований настоящего Положения. Ответственный за обеспечение безопасности защиты персональных данных должен вести «Журнал учета проверок знаний и навыков пользователей».
5.3. Пользователи, демонстрирующие недостаточные знания и умения для обеспечения безопасности персональных данных в соответствии с требованиями настоящего положения, к работе в ИСПДн не допускаются.
5.4. Ответственным за организацию обучения и оказание методической помощи является ответственный за обеспечение безопасности защиты персональных данных, ответственный за организацию обработки персональных данных и руководитель структурного подразделения.
5.5. Рекомендуется прохождение ответственным за обеспечение безопасности защиты персональных данных специализированных курсов по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.


 

6.        Порядок проверки электронного журнала обращений к ИСПДн.

6.1. Настоящий раздел Положения определяет порядок проверки электронных журналов обращений к ресурсам ИСПДн.
6.2. Проверка электронного журнала обращений проводится с целью выявления несанкционированного доступа к защищаемой информации в ИСПДн.
6.3. Право проверки электронного журнала обращений имеют:
* ответственным за обеспечение безопасности защиты персональных данных;
* ответственный за организацию обработки персональных данных;
* руководитель управления.
6.4. На технических средствах ИСПДн, на которых установлены специализированные средства защиты информации (далее — СЗИ), проверка электронного журнала производится в соответствии с прилагаемым к указанным СЗИ Руководством.
6.5. Если в ходе периодических, плановых или внезапных проверок ИСПДн выявлены случай НСД к информации конфиденциального характера то вступает в силу «Правила реагирования на инциденты (нарушения) безопасности информации в ИСПДн в ОГБУЗ «Инфекционная больница»».
6.6. Проверке подлежат все электронные журналы ИСПДн.
6.7. Проверка должна проводиться не реже чем один раз в неделю с целью своевременного выявления фактов нарушения требований настоящего Положения.


 

7.        Правила антивирусной защиты.

7.1. Настоящие правила определяют требования к организации защиты объекта ИСПДн от разрушающего воздействия вредоносного программного обеспечения (ПО), компьютерных вирусов и устанавливает ответственность руководителя и сотрудников, эксплуатирующих и сопровождающих компьютеры в составе ИСПДн, за их выполнение. Настоящие правила распространяются на все ИСПДн управления.
7.2. К использованию на компьютерах допускаются только лицензионные и сертифицированные антивирусные средства.
7.3. Установка и начальная настройка средств антивирусного контроля на компьютерах осуществляется ответственным за обеспечение безопасности защиты персональных данных.
7.4. Ответственный за обеспечение безопасности защиты персональных данных осуществляет периодическое обновление антивирусных пакетов и контроль их работоспособности.
7.5. Ярлык (ссылка) для запуска антивирусной программы должен быть доступен всем пользователям информационной системы.
7.6. Еженедельно в начале работы, после загрузки компьютера в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов компьютеров.
Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, лентах, CD-ROM, USB накопитель и т.п.). Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
Настройки средств антивирусной защиты должны быть выполнены в соответствии с требованиями руководства по эксплуатации антивирусного средства. Настройку средств антивирусной защиты выполняет ответственный за обеспечение безопасности защиты персональных данных.
7.7. Файлы, помещаемые в электронный архив на магнитных носителях, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.
7.8. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера, ответственным за обеспечение безопасности защиты персональных данных должна быть выполнена антивирусная проверка ИСПДн.
7.9. На компьютеры запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.
7.10. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь самостоятельно (или вместе с ответственным за обеспечение безопасности защиты персональных данных) должен провести внеочередной антивирусный контроль компьютера.
В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователь обязан:
* приостановить обработку данных в ИСПДн;
* немедленно поставить в известность о факте обнаружения зараженных вирусом файлов ответственного за обеспечение безопасности защиты персональных данных, а также смежные подразделения, использующие эти файлы в работе;
* Совместно с ответственным за обеспечение безопасности защиты персональных данных и владельцем зараженных вирусом файлов провести анализ возможности, дальнейшего их использования;
* провести лечение или уничтожение зараженных файлов.
7.11. Ответственность за организацию антивирусного контроля в ИСПДн в соответствии с требованиями настоящего Положения возлагается на ответственного за обеспечение безопасности защиты персональных данных.
7.12. Ответственность за проведение мероприятий антивирусной защиты в ИСПДн и соблюдение требований настоящего Положения возлагается на ответственного за обеспечение безопасности защиты персональных данных и всех пользователей данной ИСПДн.
7.13. Все пользователи управления должны быть ознакомлены с требованиями настоящих правил и «Инструкцией по организации антивирусной защиты информационных систем персональных данных в ОГБУЗ «Инфекционная больница»» под роспись.


 

8.        Правила парольной защиты

8.1. Данные правила регламентируют организационно-технические мероприятия по обеспечению процессов генерации, смены и прекращения действия паролей в ИСПДн, а также контроль действий пользователей при работе с паролями.
8.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль действий пользователей при работе с паролями возлагается на ответственного за обеспечение безопасности защиты персональных данных.
8.3. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями ОВТ самостоятельно с учетом следующих требований:
* пароль должен быть не менее 6 символов;
* в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры);
* символы паролей для рабочих станций, на которых установлено средство защиты информации от несанкционированного доступа, должны вводиться в режиме латинской раскладки клавиатуры;
* пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
* при смене пароля новое значение должно отличаться от предыдущих не менее чем в четырех символах;
* пользователь не имеет права сообщать личный пароль другим лицам.
8.4. В случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т.п. технологической необходимости использования имен и паролей сотрудников (исполнителей) в их отсутствие, сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение начальнику отдела структурного подразделения или ответственному за обеспечение безопасности защиты персональных данных. Запечатанные конверты (пеналы) с паролями исполнителей должны храниться в недоступном месте у начальника отдела структурного подразделения или ответственного за обеспечение безопасности защиты персональных данных.
8.5. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в течение 90 дней.
8.6. Внеплановая смена личного пароля или удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т.п.) должна производиться ответственным за обеспечение безопасности защиты персональных данных (либо новым постоянным пользователем) немедленно после окончания последнего сеанса работы данного пользователя с системой.
8.7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) ответственного за обеспечение безопасности защиты персональных данных.
8.8. В случае компрометации личного пароля пользователя ИСПДн должны быть немедленно предприняты меры по восстановлению парольной защиты.
8.9. Контроль действий пользователей при работе с паролями, соблюдение порядка их смены, хранения и использования возлагается на ответственного за обеспечение безопасности защиты персональных данных.
8.10. Все пользователи Управления должны быть ознакомлены под роспись с перечисленными выше требованиями и «Инструкцией по организации парольной защиты в информационной системе персональных данных в ОГБУЗ «Инфекционная больница»» и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.


 

9.        Правила обновления общесистемного и прикладного программного обеспечения, технического обслуживания ИСПДн.

9.1. Настоящие правила регламентируют обеспечение безопасности информации при проведении обновлении, модификации общесистемного и прикладного программного обеспечения, технического обслуживания и при возникновении нештатных ситуаций в работе ИСПДн.
9.2. Право внесения изменений в конфигурацию аппаратно-программных средств защищенных ИСПДн предоставляется:
* в отношении системных и прикладных программных средств — ответственному за обеспечение безопасности защиты персональных данных по согласованию с органом по аттестации, проводившим аттестацию данной ИСПДн;
* в отношении аппаратных средств, а также в отношении программно-аппаратных средств защиты — ответственному за обеспечение безопасности защиты персональных данных по согласованию с органом по аттестации, проводившим аттестацию данной ИСПДн.
9.3. Изменение конфигурации аппаратно-программных средств ИСПДн кем-либо, кроме вышеперечисленных уполномоченных сотрудников и подразделений, запрещено.
9.4. В заявке могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств ИСПДн:
* установка (развертывание) на компьютер(ы) программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи в данной ИСПДн;
* обновление (замена) на компьютере(ах) программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ);
* удаление с компьютера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данном компьютере).
9.5. Подготовка обновления, модификации общесистемного и прикладного программного обеспечения ИСПДн тестирование, стендовые испытания (при необходимости) и передача исходных текстов, документации и дистрибутивных носителей программ в архив дистрибутивов установленного программного обеспечения, внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на компьютерах, (обновление) и удаление системных и прикладных программных средств производится ответственным за обеспечение безопасности защиты персональных данных по согласованию с органом по аттестации, проводившим аттестацию данной ИСПДн. Работы производятся в присутствии ответственного за эксплуатацию данной ИСПДн.
9.6. Установка и обновление ПО на компьютерах производится только с оригинальных лицензионных дистрибутивных носителей (дискет, компакт дисков и т.п.), полученных установленным порядком.
9.7. Все добавляемые программные и аппаратные компоненты должны быть предварительно установленным порядком проверены на работоспособность.
9.8. После установки (обновления) ПО, ответственный за обеспечение безопасности защиты персональных данных должен произвести требуемые настройки средств управления доступом к компонентам компьютера и проверить работоспособность ПО и правильность их настройки, сделать отметку о выполнении в «Техническом паспорте».
9.9. При возникновении ситуаций, требующих передачи технических средств в сервисный центр с целью ремонта, ответственный за ее эксплуатацию докладывает об этом ответственному за защиту информации, который в свою очередь связывается с сотрудниками органа по аттестации и в дальнейшем действует согласно их инструкций. В данном случае ответственный за обеспечение безопасности защиты персональных данных обязан предпринять необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Оригиналы заявок (документов), на основании которых производились изменения в составе программных средств компьютеров с отметками о внесении изменений в состав программных средств, должны храниться вместе с техническим паспортом на ИСПДн у ответственного за защиту информации.
9.10. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью ответственного за обеспечение безопасности защиты персональных данных и сотрудника ответственного за эксплуатацию данной ИСПДн.
9.11. С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе на компьютерах конкретной ИСПДн, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать на данном компьютере.
9.12. Использование несколькими сотрудниками при работе в ИСПДн одного и того же имени пользователя («группового имени») запрещено.


 

10.   Порядок контроля соблюдения условий использования средств защиты информации, в том числе криптографических.

10.1. Данный раздел Положения определяет порядок контроля соблюдения условий использования средств защиты информации.
10.2. Технические средства защиты информации являются важным компонентом ОБ ПДн.
10.3. Порядок работы с техническими СЗИ определен в соответствующих руководствах по настройке и использованию СЗИ обязательных для исполнения, как сотрудниками обрабатывающими информацию, содержащую ПДн, так и ответственным за обеспечение безопасности защиты персональных данных.
10.4. Право проверки соблюдения условий использования средств защиты информации имеют:
* ответственный за организацию обработки персональных данных;
* ответственным за обеспечение безопасности защиты персональных данных.
10.5. Пользователю ИСПДн категорически запрещается:
* обрабатывать информацию, содержащую ПДн, с отключенными СЗИ;
* менять настройки СЗИ.
10.6. Ответственному за обеспечение безопасности защиты персональных данных запрещается менять настройки программно-аппаратных СЗИ, предустановленные специалистом организации, имеющей лицензию на деятельность по технической защите информации, без согласования с этой организацией.


 

11.   Заключительные положения.

11.1. Требования настоящего Положения обязательны для всех сотрудников, допущенных к обработке персональных данных.
11.2. Нарушение требований настоящего Положения влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
11.3. В приложениях №№ 1, 2, 3, к Положению для ведения соответствующего учета приведены типовые формы журналов:
* учета машинных носителей информации;
* периодического тестирования средств защиты информации;
* учета пользователей, допущенных к информационным системам персональных данных