По датам
Полезное
Выборки
Типы документов
Приказ Минздрава Рязанской области от 17.09.2014 N 1466 "О назначении ответственных лиц по защите персональных данных"
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ
ПРИКАЗ
от 17 сентября 2014 г. № 1466
О НАЗНАЧЕНИИ ОТВЕТСТВЕННЫХ ЛИЦ ПО ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России, ФСБ России и Министерства информационных технологий и связи РФ от 13.02.2008 № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных", приказом ФСТЭК России от 05.02.2010 № 58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных", методиками определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных и базовой моделью угроз безопасности персональных данных, утвержденными ФСТЭК России 14.02.2008, в целях обеспечения защиты персональных данных, обрабатываемых с использованием средств автоматизации, в информационных системах персональных данных министерства здравоохранения Рязанской области приказываю:
1. Назначить Администратором ИСПДн консультанта отдела анализа, разработки и реализации целевых программ Котова Г.Н.
2. Возложить на Администратора ИСПДн обязанности по контролю ИСПДн министерства здравоохранения Рязанской области в отношении системных, прикладных программных и технических средств, программных и программно-аппаратных средств защиты информации, периодическому анализу системных журналов средств защиты информации и оперативному контролю за безопасностью персональных данных.
3. Утвердить следующие внутренние документы министерства здравоохранения Рязанской области:
- инструкцию Администратора ИСПДн министерства здравоохранения Рязанской области согласно приложению № 1 к настоящему приказу;
- инструкцию пользователя ИСПДн министерства здравоохранения Рязанской области согласно приложению № 2 к настоящему приказу;
- инструкцию по порядку обращения с техническими средствами защиты информации, предназначенными для защиты персональных данных, обрабатываемых в ИСПДн министерства здравоохранения Рязанской области, согласно приложению № 3 к настоящему приказу;
- инструкцию по организации антивирусной защиты в ИСПДн министерства здравоохранения Рязанской области согласно приложению № 4 к настоящему приказу;
- инструкцию по организации парольной защиты в ИСПДн министерства здравоохранения Рязанской области согласно приложению № 5 к настоящему приказу;
- инструкцию по резервированию и восстановлению массивов персональных данных в ИСПДн министерства здравоохранения Рязанской области согласно приложению № 6 к настоящему приказу;
- журнал регистрации, учета и выдачи сменных носителей персональных данных в ИСПДн министерства здравоохранения Рязанской области согласно приложению № 7 к настоящему приказу.
4. Ознакомить под роспись с вышеперечисленными инструкциями лиц, осуществляющих обработку персональных данных и ответственных за обеспечение безопасности персональных данных в ИСПДн министерства здравоохранения Рязанской области.
5. Всем лицам, имеющим доступ к персональным данным в ИСПДн министерства здравоохранения Рязанской области, неукоснительно соблюдать требования нормативных документов по защите персональных данных.
6. Контроль за исполнением приказа возложить на первого заместителя министра здравоохранения Рязанской области Грачева В.И.
Министр
Л.Н.ТЮРИНА
Приложение № 1
к приказу
министерства здравоохранения
Рязанской области
от 17 сентября 2014 г. № 1466
ИНСТРУКЦИЯ
АДМИНИСТРАТОРА ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Инструкция Администратора информационных систем персональных данных министерства здравоохранения Рязанской области определяет функции, права и обязанности Администратора ИСПДн по вопросам обеспечения правильности использования и нормального функционирования ИСПДн, информационной безопасности в ИСПДн.
1.2. Администратор ИСПДн назначается из числа сотрудников министерства здравоохранения Рязанской области и отвечает за обеспечение устойчивой работоспособности элементов ИСПДн, правильность использования и нормальное функционирование системы защиты персональных данных (далее - СЗПДн).
1.3. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения режима конфиденциальности и не исключает обязательного выполнения их требований.
2. Должностные обязанности Администратора ИСПДн
2.1. Администратор ИСПДн обязан:
2.1.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.
2.1.2. Осуществлять учет и периодический контроль за составом и полномочиями пользователей автоматизированных рабочих и серверов ИСПДн министерства здравоохранения Рязанской области.
2.1.3. Осуществлять оперативный контроль за работой пользователей автоматизированных рабочих станций, анализировать содержимое системных журналов и реагировать на возникающие нештатные ситуации, обеспечивать своевременное архивирование системных журналов и надлежащий режим их хранения.
2.1.4. Осуществлять непосредственное управление режимами работы и административную поддержку функционирования применяемых на автоматизированных рабочих местах ИСПДн министерства здравоохранения Рязанской области специальных технических средств защиты от несанкционированного доступа (далее - НСД).
2.1.5. Осуществлять контроль технических средств, программного обеспечения и средств защиты информации (далее - СЗИ) в ИСПДн министерства здравоохранения Рязанской области.
2.1.6. Исключать возможность несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах.
2.1.7. Уничтожать (стирать) или обезличивать персональные данные на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания.
2.1.8. Обеспечивать установку только разрешенного к использованию программного обеспечения и его компонентов, настройку и своевременное обновление элементов ИСПДн:
- программного обеспечения автоматизированных рабочих станций и серверов (операционные системы, прикладное и специальное программное обеспечение);
- аппаратных средств ИСПДн;
- аппаратных и программных СЗИ.
2.1.9. Обеспечивать работоспособность элементов ИСПДн и локальной вычислительной сети.
2.1.10. Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.
2.1.11. Обеспечивать функционирование и поддерживать работоспособность СЗИ в рамках возложенных на него функций.
2.1.12. В случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе СЗИ, принимать меры по своевременному восстановлению и выявлению причин, приведших к их отказу работоспособности.
2.1.13. Проводить периодический контроль принятых мер по защите информации в пределах возложенных на него функций.
2.1.14. Обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации.
2.1.15. Информировать ответственного за организацию обработки персональных данных о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн.
2.1.16. Требовать прекращения обработки информации как в целом, так и для отдельных пользователей в случае выявления нарушений установленного порядка работы или нарушения функционирования ИСПДн или средств защиты.
2.1.17. Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт.
2.1.18. Присутствовать при выполнении технического обслуживания элементов ИСПДн сторонними физическими людьми и организациями.
2.1.19. Проводить занятия с сотрудниками по правилам работы на автоматизированных рабочих местах, оснащенных СЗИ от НСД, и по изучению руководящих документов по вопросам обеспечения безопасности информации.
2.1.20. Принимать меры по реагированию в случае возникновения внештатных ситуаций и аварийных ситуаций с целью ликвидации их последствий.
2.1.21. Докладывать руководству министерства здравоохранения Рязанской области обеспечения информационной безопасности об имевших место попытках несанкционированного доступа к информации и техническим средствам ИСПДн.
2.1.22. По указанию руководства своевременно и точно отражать изменения в организационно-распорядительных и нормативных документах по управлению средствами защиты от НСД, установленных на автоматизированных рабочих местах министерства здравоохранения Рязанской области.
2.1.23. Участвовать в расследовании причин совершения нарушений и возникновения серьезных кризисных ситуаций в результате НСД.
3. Права Администратора ИСПДн
3.1. Администратор ИСПДн имеет право:
3.1.1. Участвовать в анализе ситуаций, касающихся функционирования ИСПДн и расследования фактов несанкционированного доступа.
3.1.2. Требовать прекращения обработки информации в случае нарушения установленного порядка работы или нарушения функционирования средств и систем защиты ИСПДн.
3.1.3. Проводить служебные расследования по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов ИСПДн.
3.1.4. Вносить свои предложения по совершенствованию мер защиты в ИСПДн.
3.2. Администратор ИСПДн обладает правами доступа к любым программным и аппаратным ресурсам и любой информации на рабочих станциях пользователей (за исключением информации, закрытой с использованием средств криптозащиты) и средствам их защиты.
4. Ответственность Администратора ИСПДн
4.1. Администратор ИСПДн несет ответственность:
4.1.1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей Инструкцией, - в пределах, определенных действующим трудовым законодательством Российской Федерации.
4.1.2. За правонарушения, совершенные в процессе осуществления своей деятельности, - в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.
4.1.3. За причинение материального ущерба - в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.
4.1.4. За разглашение сведений ограниченного распространения, ставших известными ему по роду работы.
4.1.5. На Администратора ИСПДн возлагается персональная ответственность за программно-технические и шифровальные средства защиты информации, средства вычислительной техники, информационно-вычислительные комплексы, сети и автоматизированные системы обработки информации, закрепленные за ним руководителем министерства здравоохранения Рязанской области, и за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями.
Приложение № 2
к приказу
министерства здравоохранения
Рязанской области
от 17 сентября 2014 г. № 1466
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Инструкция пользователя информационных систем персональных данных министерства здравоохранения Рязанской области определяет функциональные обязанности, права и ответственность пользователей ИСПДн, в которых обрабатываются персональные данные (далее - ПДн) с использованием средств автоматизации.
1.2. Настоящая Инструкция подготовлена в соответствии с требованиями нормативно-методических документов ФСТЭК России и ФСБ России по защите персональных данных, обрабатываемых с использованием средств автоматизации.
1.3. В настоящей Инструкции используются следующие термины и определения:
1.3.1. Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
1.3.2. База данных - объективная форма представления и организации совокупности данных, систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью электронно-вычислительных машин.
1.3.3. Информация - сведения (сообщения, данные) независимо от формы их представления.
1.3.4. Персональные данные - любая информация, относящаяся прямо или косвенно определенному или к определяемому физическому лицу (субъекту персональных данных).
1.3.5. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.3.6. Компрометация пароля - утрата доверия к тому, что используемый пароль обеспечивает безопасность персональных данных. К событиям, приводящим к компрометации пароля, относятся следующие события (включая, но не ограничиваясь) - несанкционированное сообщение пароля другому лицу; утеря бумажного или машинного носителя информации, на котором был записан пароль; запись пароля на бумажном, машинном, ином носителе информации, доступ к которому не контролируется.
1.3.7. Конфиденциальность персональных данных - обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
1.3.8. Несанкционированный доступ к персональным данным - доступ к персональным данным с нарушением установленных прав доступа, приводящий к нарушению конфиденциальности персональных данных, к утечке, искажению, подделке, уничтожению, блокированию доступа к персональным данным.
1.3.9. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.3.10. Распространение персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.3.11. Разглашение персональных данных - распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
1.3.12. Средства защиты информации (СЗИ) - программные, программно-аппаратные, аппаратные средства, предназначенные и используемые для защиты персональных данных в ИСПДн.
1.3.13. Утеря пароля - события, приводящие к невозможности восстановления пароля в памяти лица, владеющего данным паролем.
1.3.14. Автоматизированное рабочее место (АРМ) - персональный компьютер, предназначенный для автоматизации деятельности пользователей и входящий в состав ИСПДн. В состав АРМ входят: системный блок, монитор, клавиатура, мышь, внешние устройства (принтер, сканер и т.д.), программное обеспечение.
2. Обязанности пользователя ИСПДн министерства
здравоохранения Рязанской области
2.1. Пользователь ИСПДн обязан:
2.1.1. Хранить в тайне персональные данные, ставшие ему известными во время работы или иным путем и пресекать действия других лиц, которые могут привести к разглашению такой информации. О таких фактах, а также о других причинах или условиях возможной утечки персональных данных немедленно информировать ответственного за организацию обработки персональных данных или Администратора ИСПДн.
2.1.2. При определении персональных данных, подлежащих защите, использовать "Перечень персональных данных, обрабатываемых в ИСПДн", утвержденный министром здравоохранения Рязанской области.
2.1.3. Знать и выполнять правила работы со средствами защиты информации (средствами разграничения доступа), используемыми на персональных компьютерах в соответствии с инструкциями, требованиями, регламентирующими функционирование установленных средств защиты.
2.1.4. Хранить в тайне свой пароль доступа в автоматизированную систему (далее - АС), входящую в состав ИСПДн, а также информацию об установленной системе защиты.
2.1.5. Использовать для работы только учтенные съемные накопители информации (гибкие магнитные диски, компакт - диски и т.д.).
2.1.6. В случае необходимости сообщать о необходимости обновления антивирусных баз Администратору ИСПДн.
2.1.7. Немедленно ставить в известность Администратора ИСПДн:
- в случае утери носителя с конфиденциальной информацией (персональными данными) и/или при подозрении компрометации личных ключей и паролей;
- нарушений целостности пломб (наклеек с защитной и идентификационной информацией, нарушении или несоответствии номеров печатей) на аппаратных средствах АРМ или иных фактов совершения попыток несанкционированного доступа (НСД) к защищенной информационной системе;
- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн министерства здравоохранения Рязанской области.
2.1.8. В случае отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию рабочих станций, выхода из строя или неустойчивого функционирования узлов АРМ или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных в автоматизированной системе технических средств защиты ставить в известность Администратора ИСПДн.
2.2. В случае увольнения пользователь ИСПДн обязан вернуть все документы и материалы, относящиеся к деятельности организации. В том числе: отчеты, инструкции, служебную переписку, списки работников, компьютерные программы, а также все прочие материалы и копии названных материалов, имеющих какое-либо отношение к деятельности министерства здравоохранения Рязанской области, полученные в течение срока работы.
2.3. Уборка помещений должна производиться под контролем пользователя ИСПДн, имеющего доступ в помещение и постоянно в нем работающего.
2.4. Вынос аппаратных средств АРМ, на котором проводилась обработка персональных данных, за пределы территории здания с целью их ремонта, замены и т.п. без согласования с Администратором ИСПДн или Ответственным за организацию обработки персональных данных запрещен. При принятии решения о выносе компьютеров жесткие магнитные диски должны быть демонтированы. В случае действия гарантийных обязательств фирмы-поставщика вскрытие корпуса и демонтаж носителей должны быть предварительно согласованы с ней.
2.5. АРМ, используемые для работы с персональными данными, должны быть размещены таким образом, чтобы исключалась возможность визуального просмотра экрана видеомонитора.
2.6. Пользователю ИСПДн категорически запрещается:
- передавать кому бы то ни было устно или письменно, персональные данные;
- использовать персональные данные при подготовке открытых публикаций, докладов, научных работ и т.д.;
- выполнять работы с документами, содержащими персональные данные, на дому, выносить их из служебных помещений, снимать копии или производить выписки из таких документов без разрешения Ответственного за организацию обработки персональных данных;
- оставлять на рабочих столах, в столах и незакрытых сейфах документы, содержащие персональные данные, а также оставлять незапертыми и не опечатанными после окончания работы сейфы, помещения и хранилища с документами, содержащими персональные данные;
- использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных целях;
- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства;
- осуществлять обработку персональных данных в присутствии посторонних (не допущенных к данной информации) лиц;
- записывать и хранить персональные данные на неучтенных носителях информации (гибких магнитных дисках и т.п.);
- оставлять включенной без присмотра свою рабочую станцию (АРМ), не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок - ставить в известность Администратора ИСПДн.
3. Права пользователя ИСПДн министерства
здравоохранения Рязанской области
3.1. Пользователь ИСПДн министерства здравоохранения Рязанской области имеет право:
3.1.1. Требовать от своего непосредственного руководителя обеспечения организационно-технических условий, необходимых для исполнения обязанностей.
3.1.2. Получать доступ к информации, материалам, техническим средствам, помещениям, необходимым для надлежащего исполнения своих обязанностей.
4. Ответственность пользователя ИСПДн министерства
здравоохранения Рязанской области
4.1. Пользователь ИСПДн министерства здравоохранения Рязанской области несет персональную ответственность:
4.1.1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей Инструкцией, - в пределах, определенных действующим трудовым законодательством Российской Федерации.
4.1.2. За правонарушения, совершенные в процессе осуществления своей деятельности, - в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.
4.1.3. За причинение материального ущерба - в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.
4.1.4. За разглашение персональных данных, а также за нарушение порядка работы с документами или машинными носителями, содержащими такую информацию, работники могут быть привлечены к дисциплинарной или иной предусмотренной законодательством ответственности.
Приложение № 3
к приказу
министерства здравоохранения
Рязанской области
от 17 сентября 2014 г. № 1466
ИНСТРУКЦИЯ
ПО ПОРЯДКУ ОБРАЩЕНИЯ С ТЕХНИЧЕСКИМИ СРЕДСТВАМИ ЗАЩИТЫ
ИНФОРМАЦИИ, ПРЕДНАЗНАЧЕННЫМИ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Инструкция по порядку обращения с техническими средствами защиты информации (далее - ТСЗИ), предназначенными для защиты персональных данных, обрабатываемых в информационных системах персональных данных министерства здравоохранения Рязанской области, регламентирует порядок обращения с техническими средствами защиты информации в процессе получения, хранения, доставки, передачи, встраивания в прикладные системы, тестирования в целях защиты персональных данных, обрабатываемых с использованием средств автоматизации.
1.2. Настоящая Инструкция подготовлена в соответствии с требованиями нормативно-методических документов ФСТЭК России и ФСБ России по защите персональных данных, обрабатываемых с использованием средств автоматизации.
1.3. Под техническим средством защиты информации в настоящей Инструкции понимается средство защиты информации, не являющееся криптосредством.
1.4. В настоящей Инструкции используются следующие термины и определения:
1.4.1 Доступ к информации - возможность получения информации и ее использования.
1.4.2 Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
1.4.3 Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4.4 Контролируемая зона - пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств. Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
1.4.5 Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.4.6 Персональные данные (далее - ПДн) - любая информация, относящаяся прямо или косвенно определенному или к определяемому физическому лицу (субъекту персональных данных).
1.4.7 Средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
1.5. Для обеспечения безопасности ПДн при их обработке в ИСПДн министерства здравоохранения Рязанской области должны использоваться сертифицированные в системе сертификации ФСТЭК России ТСЗИ (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации).
2. Учет ТСЗИ
2.1. Инсталлирующие ТСЗИ-носители и установленные ТСЗИ подлежат поэкземплярному учету.
2.2. Программные ТСЗИ учитываются совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные ТСЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие ТСЗИ учитываются также совместно с соответствующими аппаратными средствами.
2.3. Эксплуатационная и техническая документация к ТСЗИ подлежит поэкземплярному учету.
2.4. ТСЗИ, а также эксплуатационная и техническая документация к ТСЗИ должны быть надежно упакованы, чтобы исключить возможность их физического повреждения и внешнего воздействия.
2.5. Полученные упаковки с ТСЗИ, а также с эксплуатационной и технической документацией к ним вскрываются Ответственным за обработку ПДн и Администратором ИСПДн, с последующей проверкой их содержимого.
2.6. Уничтожение ТСЗИ:
2.6.1 ТСЗИ уничтожаются (утилизируются) по решению руководителя министерства здравоохранения Рязанской области с уведомлением Администратора ИСПДн и Ответственного за организацию обработки ПДн.
2.6.2 Намеченные к уничтожению (утилизации) ТСЗИ изымаются из аппаратных средств, с которыми они функционировали. При этом ТСЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к ТСЗИ процедура удаления программного обеспечения и они полностью отсоединены от аппаратных средств.
2.6.3 Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения используются после уничтожения ТСЗИ без ограничений.
2.7. Эксплуатационная и техническая документация к ТСЗИ уничтожается путем сжигания или с помощью любых бумагорезательных машин.
3. Организация режима помещений с ТСЗИ
3.1. Размещение, специальное оборудование, охрана и организация режима в помещении, где установлены ТСЗИ (далее - режимные помещения), должны обеспечивать сохранность ПДн, ТСЗИ, исключать возможность неконтролируемого проникновения или пребывания в режимном помещении посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
3.2. Режимное помещение выделяется с учетом размеров контролируемых зон. Помещение должно иметь прочные входные двери с замками, гарантирующими надежное закрытие помещения в нерабочее время.
3.3. Режим охраны помещения, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливается Ответственным за организацию обработки ПДн в ИСПДн министерства здравоохранения Рязанской области.
3.4. Во время отсутствия в помещении лиц, имеющих право находиться в помещении, дверь режимного помещения должна быть постоянно закрыта на замок и может открываться только для санкционированного прохода сотрудников и посетителей.
3.5. Для предотвращения просмотра извне режимных помещений их окна должны быть защищены шторами или жалюзи.
4. Эксплуатация хранилищ с ТСЗИ
4.1. Инсталлирующие ТСЗИ-носители, эксплуатационная и техническая документация к ТСЗИ должна храниться в металлических хранилищах (ящиках, шкафах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
5. Контроль безопасности ТСЗИ
5.1. Текущий контроль за организацией и обеспечением функционирования ТСЗИ возлагается на Ответственного за организацию обработки ПДн в пределах его полномочий.
6. Ответственность
6.1. Пользователи ИСПДн несут персональную ответственность за сохранность полученных ТСЗИ, эксплуатационной и технической документации к ТСЗИ, за соблюдение положений настоящей Инструкции.
6.2. Ответственный за организацию обработки ПДн в ИСПДн министерства здравоохранения Рязанской области несет ответственность за соответствие проводимых им мероприятий по организации и обеспечению безопасности обработки ПДн с использованием ТСЗИ лицензионным требованиям и условиям, эксплуатационной и технической документации к ТСЗИ, а также настоящей Инструкции.
Приложение № 4
к приказу
министерства здравоохранения
Рязанской области
от 17 сентября 2014 г. № 1466
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ
ОБЛАСТИ
1. Общие положения
1.1. Настоящая Инструкция предназначена для Администратора информационных систем персональных данных (далее - ИСПДн), Ответственного за организацию обработки персональных данных (далее - ПДн) в ИСПДн и пользователей, эксплуатирующих ИСПДн, министерства здравоохранения Рязанской области.
1.2. Инструкция устанавливает требования и ответственность Администратора ИСПДн, Ответственного за организацию обработки ПДн и пользователей ИСПДн при организации защиты персональных данных от воздействия вредоносных компьютерных вирусов.
1.3. Инструкция регулирует вопросы организации антивирусной защиты и требования к порядку проведения антивирусного контроля при работе в ИСПДн министерства здравоохранения Рязанской области.
2. Требования по обеспечению антивирусной защиты
в ИСПДн министерства здравоохранения Рязанской области
2.1. Требования к порядку организации антивирусной защиты.
2.1.1. Для организации антивирусной защиты в ИСПДн министерства здравоохранения Рязанской области допускаются к использованию только лицензионные антивирусные средства.
2.1.2. Приобретение и установка (обновление) антивирусных программных средств осуществляется в установленном порядке, но не реже чем два раза в месяц Администратор ИСПДн должен производить обновление антивирусных баз, получая их из официальных источников. Разработка и осуществление мероприятий по проведению антивирусного контроля осуществляются Ответственным за организацию обработки персональных данных в ИСПДн с привлечением (при необходимости) Администратора ИСПДн и/или специалистов лицензированной организации.
2.1.3. Должностные лица не должны допускать использования в ИСПДн программного обеспечения (ПО) и данных, не связанных с выполнением должностных обязанностей.
2.2. Требования к порядку проведения антивирусного контроля.
2.2.1. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено Администратором ИСПДн на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения автоматизированного рабочего места (далее - АРМ) (локальной вычислительной сети) должна быть выполнена антивирусная проверка:
- на защищаемых серверах и АРМ - Администратором ИСПДн;
- на других серверах и АРМ, не требующих защиты, - лицом, установившим (изменившим) программное обеспечение, - в присутствии и под контролем руководителя данного подразделения или сотрудника, им уполномоченного.
2.2.2. При загрузке компьютера должен проводиться антивирусный контроль в автоматическом режиме. Порядок и периодичность расширенного антивирусного контроля и других необходимых антивирусных проверок определяется Администратором ИСПДн на этапе планирования мероприятий установленным порядком (не реже одного раза в месяц и при необходимости в случае появления подозрении в заражении вирусной программой).
2.2.3. Обязательному дополнительному антивирусному контролю подлежит любая информация на съемных машинных носителях информации, поступающая для обработки в ИСПДн министерства здравоохранения Рязанской области. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель информации).
2.2.4. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь ИСПДн самостоятельно или вместе с Администратором ИСПДн должен провести внеочередной антивирусный контроль своей рабочей станции для определения ими факта наличия или отсутствия компьютерного вируса.
2.2.5. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователи ИСПДн обязаны:
- приостановить работу;
- немедленно поставить в известность о факте обнаружения зараженных вирусом файлов своего непосредственного руководителя и Администратора ИСПДн, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе;
- совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
- провести лечение или уничтожение зараженных файлов;
- в случае обнаружения нового вируса, не поддающегося лечению применяемыми антивирусными средствами, направить зараженный вирусом файл на гибком магнитном диске Администратору ИСПДн для дальнейшей передачи его в организацию, с которой заключен договор на антивирусную поддержку;
- по факту обнаружения зараженных вирусом файлов составить служебную записку Администратору ИСПДн, в которой необходимо указать предположительный источник (отправителя, владельца и т.д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации, тип вируса и выполненные антивирусные мероприятия.
3. Ответственность при организации антивирусной защиты
в ИСПДн министерства здравоохранения Рязанской области
3.1. Ответственность за организацию антивирусной защиты в ИСПДн министерства здравоохранения Рязанской области и установление порядка ее проведения в соответствии с требованиями настоящей Инструкции возлагается на Администратора ИСПДн.
3.2. Ответственность за поддержание установленного порядка и соблюдение требований настоящей Инструкции возлагается на Ответственного за организацию обработки ПДн в ИСПДн министерства здравоохранения Рязанской области и пользователей (операторов) ИСПДн министерства здравоохранения Рязанской области.
Приложение № 5
к приказу
министерства здравоохранения
Рязанской области
от 17 сентября 2014 г. № 1466
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ
ОБЛАСТИ
1. Общие положения
1.1. Данная Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных министерства здравоохранения Рязанской области, а также контроль за действиями пользователей и обслуживающего персонала ИСПДн министерства здравоохранения Рязанской области при работе с паролями.
2. Требования по организации парольной защиты
в ИСПДн министерства здравоохранения Рязанской области
2.1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в ИСПДн министерства здравоохранения Рязанской области и контроль за действиями исполнителей и обслуживающего персонала ИСПДн при работе с паролями возлагаются на Администратора ИСПДн, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.
2.2. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями ИСПДн самостоятельно с учетом следующих требований:
- длина пароля должна быть не менее 8 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования автоматизированного рабочего места (АРМ) и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
- личный пароль пользователь не имеет права сообщать никому.
2.3. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
2.4. В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на Администратора ИСПДн. Для генерации "стойких" значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников министерства здравоохранения Рязанской области.
2.5. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в месяц.
2.6. Внеплановая смена личного пароля или удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу внутри министерства здравоохранения Рязанской области и т.п.) должна производиться Администратором ИСПДн немедленно после окончания последнего сеанса работы данного пользователя в ИСПДн министерства здравоохранения Рязанской области.
2.7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри министерства здравоохранения Рязанской области и другие обстоятельства) Администратора ИСПДн и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой ИСПДн министерства здравоохранения Рязанской области.
2.8. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 2.6 или п. 2.7 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
3. Ответственность при организации парольной защиты
в ИСПДн министерства здравоохранения Рязанской области
3.1. Ответственность за организацию парольной защиты в ИСПДн министерства здравоохранения Рязанской области и установление порядка ее проведения в соответствии с требованиями настоящей Инструкции возлагается на Администратора ИСПДн.
3.2. Ответственность за поддержание установленного порядка и соблюдение требований настоящей Инструкции возлагается на Ответственного за организацию обработки ПДн в ИСПДн министерства здравоохранения Рязанской области и пользователей (операторов) ИСПДн.
Приложение № 6
к приказу
министерства здравоохранения
Рязанской области
от 17 сентября 2014 г. № 1466
ИНСТРУКЦИЯ
ПО РЕЗЕРВИРОВАНИЮ И ВОССТАНОВЛЕНИЮ МАССИВОВ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЯЗАНСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Инструкция по резервированию и восстановлению массивов персональных данных в информационных системах персональных данных министерства здравоохранения Рязанской области определяет порядок резервирования и восстановления содержащих персональные данные (далее - ПДн) баз данных ИСПДн министерства здравоохранения Рязанской области.
1.2. Настоящая Инструкция подготовлена с целью обеспечения:
1.2.1. Возможности восстановления содержащих ПДн баз данных (далее - БД) при возникновении такой необходимости.
2.2.1. Целостности и конфиденциальности данных, хранящихся на резервных носителях.
1.3. В настоящей Инструкции регламентируются мероприятия по настройке компонент резервного копирования БД, резервированию БД, хранению носителей резервных копий, выводу из эксплуатации носителей резервных копий, восстановлению БД.
1.4. Имеются следующие типы резервных копий БД:
Таблица 1
Тип
Периодичность резервирования
Способ резервирования
Место хранения
Срок хранения
Первый тип
1 раз в сутки
автоматически
На несъемных жестких магнитных дисках
30 суток
Второй тип
1 раз в неделю
вручную
На съемных жестких магнитных дисках
5 недель
Третий тип
1 раз в месяц
вручную
На съемных жестких магнитных дисках
На время существования оператора
2. Настройка компонент резервного копирования БД
2.1. Администратор ИСПДн настраивает резервирование БД на несъемные жесткие диски.
2.2. Резервирование БД осуществляется средствами управления баз данных. Для этого необходимо сделать настройки конфигурации для интерактивного резервирования и выполнить резервирование.
2.3. Для автоматического резервирования необходимо назначить задание Мастеру планирования заданий операционной системы с указанием соответствующего времени.
3. Резервирование БД на внешние носители
3.1. Администратор ИСПДн регистрирует внешний носитель для хранения резервной копии БД в соответствующем журнале.
3.2. Администратор ИСПДн записывает резервную копию БД на соответствующий носитель. Запрещено записывать резервную копию БД на внешние носители, не зарегистрированные должным образом как носители для хранения резервных копий БД.
3.3. Администратор ИСПДн проверяет качество записанной резервной копии БД путем проверки логов в журналах средств управления баз данных.
3.4. Администратор ИСПДн помещает внешний носитель резервной копии БД в защищенное хранилище с регистрацией в соответствующем журнале.
4. Хранение внешних носителей резервных копий БД
4.1. Хранение внешних носителей резервных копий БД осуществляет Администратор ИСПДн.
4.2. Должно быть обеспечено надежное хранение всех внешних носителей резервных копий БД в защищенных хранилищах. Помещения, в которых хранятся внешние носители резервных копий БД, должны удовлетворять требованиям к режимным помещениям.
4.3. По истечении срока хранения внешнего носителя резервной копии БД данный носитель подлежит выводу из эксплуатации. Вывод носителя из эксплуатации осуществляется Администратором ИСПДн. При этом факт вывода из эксплуатации регистрируется в соответствующем журнале. Внешние носители резервных копий БД выводятся из эксплуатации путем их физического уничтожения.
4.4. Несъемные жесткие магнитные диски, предназначенные для хранения резервных копий БД первого типа, выводятся из эксплуатации путем уничтожения всей защищаемой информации специальными средствами гарантированного уничтожения или путем двукратной записи произвольной информации в освобождаемые области памяти, или путем их физического уничтожения.
5. Восстановление БД
5.1. Набор исходных данных, необходимых для восстановления БД, приведен в таблице 2.
Таблица 2
Документ
Ответственный за хранение
Ответственный за использование
Пароль учетной записи администратора операционной системы
Администратор ИСПДн
Администратор ИСПДн
Резервная копия БД в виде набора файлов на внешнем носителе
Администратор ИСПДн
Администратор ИСПДн
Лицензии Microsoft Windows XP Professional, Windows 7
Ответственный за организацию обработки ПДн
Администратор ИСПДн
Дистрибутивы операционной системы и средств защиты информации
Ответственный за организацию обработки ПДн
Администратор ИСПДн
Лицензии на средства защиты информации
Ответственный за организацию обработки ПДн
Администратор ИСПДн
Инструкция по резервированию и восстановлению массивов персональных данных в ИСПДн
Администратор ИСПДн
Администратор ИСПДн
5.2. Для восстановления БД используется наиболее актуальная резервная копия БД 1 типа. Проверку возможности использования данной резервной копии БД для восстановления БД осуществляет Администратор ИСПДн.
5.3. При невозможности использования резервных копий БД 1 типа используется наиболее актуальная резервная копия БД 2 типа.
5.4. При невозможности использования резервных копий БД 2 типа используется наиболее актуальная резервная копия БД 3 типа.
5.5. Восстановление БД осуществляет Администратор ИСПДн. Восстановление БД производится в соответствии с эксплуатационной и технической документацией на соответствующую систему управления БД.
Приложение № 7
к приказу
министерства здравоохранения
Рязанской области
от 17 сентября 2014 г. № 1466
ЖУРНАЛ № ___
регистрации, учета и выдачи сменных носителей
персональных данных в ИСПДн министерства
здравоохранения Рязанской области
Начат "___"___________ 20__ г. На ______ листах
Окончен "___"_____________ 20__ г.
_____________________________________________________ __________________
(Ф.И.О. ответственного лица за ведение журнала) подпись
Регистрационный номер носителя информации
Дата регистрации
Название носителя информации
Фамилия И.О. получившего носитель информации
Дата и время получения носителя информации
Подпись получившего носитель информации
Подпись администратора ИСПДн
Дата и время сдачи носителя информации
Подпись сдавшего носитель информации
Подпись администратора
ИСПДн
Примечание
------------------------------------------------------------------