1. Общие положения

1.1. Настоящее Положение о защите персональных данных в информационных системах персональных данных отдела медицинской статистики (медицинского информационно-аналитического центра, бюро медицинской статистики) (далее – Положение) разработано в соответствии с Законом Российской Федерации от 27.07.2006 N 152-ФЗ «О персональных данных» в целях обеспечения безопасности персональных данных (ПД) при их обработке в информационных системах персональных данных (ИСПД) органов медицинской статистики.

1.2. Положение определяет порядок работы персонала ИСПД в части обеспечения безопасности ПД при их обработке, порядок использования средств защиты информации, разработку и принятие мер по предотвращению возможных опасных последствий таких нарушений, порядок приостановки предоставления ПД в случае обнаружения нарушений при их обработке, порядок обучения персонала практике работы в ИСПД, порядок контроля соблюдения условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией, правила обновления общесистемного и прикладного программного обеспечения, правила организации антивирусной защиты и парольной защиты ИСПД, порядок охраны и допуска посторонних лиц в защищаемые помещения.

2. Порядок предоставления допуска пользователей к работе в ИСПД

2.1. Первоначальный допуск пользователей к работе в ИСПД осуществляется на основании приказа, который издается руководителем медицинского учреждения (далее Руководитель). В приказе определяется список сотрудников, допущенных к работе в ИСПД.

2.2. С целью обеспечения ответственности за ведение, нормальное функционирование и контроль работы средств защиты информации и выполнения необходимых мероприятий по обеспечению безопасности в ИСПД руководителем назначается администратор безопасности.

2.3. С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе в ИСПД, должно быть определено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в ИСПД. Использование несколькими сотрудниками при работе в ИСПД одного и того же имени пользователя не допускается.

2.4. Сотруднику, зарегистрированному в качестве нового пользователя ИСПД, сообщается имя соответствующего ему пользователя и может выдаваться персональный идентификатор (для работы в режиме усиленной аутентификации) и начальное значение пароля, которое он обязан сменить при первом же входе в систему.

3. Порядок работы пользователей ИСПД в части обеспечения безопасности ПД при их обработке в ИСПД

3.1. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПД.

3.2. Пользователь несет ответственность за правильность включения и выключения средств вычислительной техники (СВТ), входа в систему и все действия при работе в ИСПД.

3.3. Перед началом работы в ИСПД, сотрудники учреждения, допущенные к работе с ПД, принимают под роспись обязательство о неразглашении персональных данных (см. приложение 1).

3.4. Вход пользователя в систему должен осуществляться по выдаваемому ему электронному идентификатору и по персональному паролю.

3.5. Запись информации, содержащей ПД, должна осуществляться только на машинные носители информации, соответствующим образом учтенные в Журнале учета носителей персональных данных. Ответственным за ведение Журнала учета является администратор безопасности.

3.6. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютерах ИСПД. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями данного Положения;

3.7. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПД и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПД, несет персональную ответственность за свои действия и обязан:

- строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПД;

- знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютерах ИСПД;

- хранить в тайне свой пароль (пароли);

- хранить в соответствии с установленным порядком свое индивидуальное устройство идентификации (ключ) и другие реквизиты в недоступном для посторонних месте;

- выполнять требования антивирусной защиты в полном объеме;

- немедленно известить администратора информационной безопасности в случае утери индивидуального устройства идентификации (ключа), а также при обнаружении:

- фактов совершения попыток несанкционированного доступа (далее – НСД) к ИСПД;

- несанкционированных изменений в конфигурации программных или аппаратных средств ИСПД;

- некорректного функционирования установленных на компьютеры технических средств защиты;

- непредусмотренных отводов кабелей и подключенных устройств.

3.8. Пользователю категорически запрещается:

- использовать компоненты программного и аппаратного обеспечения ПЭВМ в неслужебных целях;

- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПД или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения;

- осуществлять обработку ПД в присутствии посторонних (не допущенных к данной информации) лиц;

- записывать и хранить ПД на неучтенных машинных носителях информации;

- оставлять включенным без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);

- оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, машинные носители и распечатки, содержащие ПД;

- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к нарушению конфиденциальности ПД;

- размещать средства отображения информации (монитор, принтер и т.п.) таким образом, чтобы с них существовала возможность визуального считывания информации посторонними лицами.

4. Порядок резервирования и восстановления работоспособности технических средств, программного обеспечения, баз данных, защищаемой информации и средств защиты информации

4.1. Настоящий порядок определяет организацию резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.

4.2. К использованию, для создания резервной копии в ИСПД, допускаются только зарегистрированные в Журнале учета носители.

4.3. Администратор информационной системы обязан осуществлять периодическое резервное копирование персональных данных.

4.4. При восстановлении работоспособности программного обеспечения сначала осуществляется резервное копирование защищаемой информации, затем производится полная деинсталляция некорректно работающего программного обеспечения. Восстановление программного обеспечения производится путем его инсталляции с использованием эталонных дистрибутивов.

4.5. При работе на компьютерах ИСПД рекомендуется использовать источники бесперебойного питания, с целью предотвращения повреждения технических средств и(или) защищаемой информации в результате сбоев в сети электропитания.

4.6. При восстановлении работоспособности средств защиты информации следует выполнить их настройку в соответствии с требованиями безопасности информации, изложенными в техническом задании на создание системы защиты персональных данных.

4.7. Восстановление средств защиты информации производится с использованием эталонных сертифицированных дистрибутивов. После успешной настройки средств защиты информации необходимо выполнить резервное копирование настроек данных средств с помощью встроенных в них функций на зарегистрированный носитель.

4.8. Ответственность за проведение резервного копирования, мероприятий по восстановлению работоспособности технических средств, мероприятий по восстановлению средств защиты информации возлагается на администратора информационной системы.

5. Порядок обучения персонала практике работы в ИСПД в части обеспечения безопасности персональных данных

5.1. Перед началом работы в ИСПД пользователи должны ознакомиться с требованиями настоящего Положения под роспись.

5.2. Пользователи должны продемонстрировать администратору безопасности наличие необходимых знаний и умений для выполнения требований настоящего Положения.

5.3. Ответственным за организацию обучения и оказание методической помощи в учреждении является администратор безопасности.

6. Правила антивирусной защиты

6.1. Настоящие правила определяют требования к организации защиты объекта ИСПД от разрушающего воздействия вредоносного программного обеспечения, компьютерных вирусов и устанавливает ответственность руководителя и сотрудников, эксплуатирующих и сопровождающих компьютеры в составе ИСПД, за их выполнение.

6.2. К использованию на компьютерах допускаются только лицензионные антивирусные средства.

6.3. Установка и начальная настройка средств антивирусного контроля на компьютерах осуществляется администратором информационной системы.

6.4. Администратор информационной системы осуществляет периодическое обновление антивирусных средств и контроль их работоспособности.

6.5. Ярлык (ссылка) для запуска антивирусной программы должен быть доступен всем пользователям информационной системы.

6.6. Еженедельно в начале работы, после загрузки компьютера в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов компьютеров.

6.7. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).

6.8. Файлы, помещаемые в электронный архив на магнитных носителях, должны в обязательном порядке проходить антивирусный контроль.

6.9. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера, администратором безопасности должна быть выполнена антивирусная проверка ИСПД.

6.10. На компьютеры пользователей запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.

6.11. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь самостоятельно (или вместе с администратором информационной системы) должен провести внеочередной антивирусный контроль компьютера.

6.12. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователь обязан:

- приостановить обработку данных в ИСПД;

- немедленно поставить в известность о факте обнаружения зараженных вирусом файлов информационной системы, а также смежные подразделения, использующие эти файлы в работе;

- совместно с владельцем зараженных вирусом файлов провести анализ возможности, дальнейшего их использования;

- провести лечение или уничтожение зараженных файлов.

6.13. Ответственность за организацию антивирусного контроля в ИСПД в соответствии с требованиями настоящего Положения возлагается на администратора информационной системы. Ответственность за проведение мероприятий антивирусной защиты в конкретной ИСПД и соблюдение требований настоящего Положения возлагается на администратора информационной системы и всех пользователей данной ИСПД.

7. Правила парольной защиты

7.1. Данные правила регламентируют организационно-технические мероприятия по обеспечению процессов генерации, смены и прекращения действия паролей в ИСПД, а также контроль действий пользователей при работе с паролями. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПД и контроль действий пользователей при работе с паролями возлагается на администратора информационной системы.

7.2. При доступе пользователя в систему должна осуществляться идентификация и проверка подлинности по идентификатору и паролю, а также с использованием электронных идентификаторов.

7.3. Личные пароли должны генерироваться и распределяться централизованно с учетом следующих требований:

- пароль должен быть длиной не менее шести буквенно-цифровых символов;

- символы паролей для рабочих станций, на которых установлено средство защиты информации от несанкционированного доступа, должны вводиться в режиме латинской раскладки клавиатуры;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

- при смене пароля новое значение должно отличаться от предыдущих;

- пользователь не имеет права сообщать личный пароль другим лицам.

7.4. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в течение 365 дней.

7.5. Удаление учетной записи пользователя ИСПД в случае прекращения его полномочий (увольнение, переход на другую работу внутри учреждения и т.п.) должна производиться администратором безопасности немедленно после окончания последнего сеанса работы данного пользователя с системой, на основании указания руководителя или начальника отдела кадров.

7.6. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри Учреждения и другие обстоятельства) администратора безопасности.

7.7. Контроль действий пользователей при работе с паролями, соблюдение порядка их смены, хранения и использования возлагается на администратора безопасности.

8. Правила обновления общесистемного и прикладного программного обеспечения, технического обслуживания ИСПД

8.1. Настоящие правила регламентируют обеспечение безопасности информации при проведении обновления, модификации общесистемного и прикладного программного обеспечения, технического обслуживания и при возникновении нештатных ситуаций в работе ИСПД.

8.2. Право на установку, обновление и модификацию общесистемного и прикладного программного обеспечения компьютеров ИСПД предоставляется администратору информационной системы.

8.3. Право внесения изменений в конфигурацию аппаратно-программных средств защиты информации предоставляется администратору информационной системы. Изменение конфигурации аппаратно-программных средств ИСПД кем-либо, кроме администратора информационной системы запрещено.

8.4. Заявку на внесение изменений в конфигурацию аппаратно-программных средств защищенных рабочих мест ИСПД рассматривает руководитель, визирует ее, утверждая тем самым производственную необходимость проведения указанных в заявке изменений. После чего заявка передается администратору информационной системы для непосредственного исполнения работ по внесению изменений в конфигурацию компьютера, указанного в заявке.

8.5. Установка или обновление подсистем ИСПД должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем. Установка и обновление ПО (системного, прикладного, тестового и т.п.) на компьютерах производится только с оригинальных лицензионных дистрибутивных носителей (дискет, компакт дисков и т.п.). Все добавляемые программные и аппаратные компоненты должны быть предварительно проверены на работоспособность, а также отсутствие опасных функций.

8.6. При возникновении ситуаций, требующих передачи технических средств в сервисный центр с целью ремонта, администратор информационной системы обязан предпринять необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера.

9. Порядок контроля обеспечения защиты информации в ИСПД и приостановки предоставления ПД в случае обнаружения нарушений порядка их предоставления

9.1. Контроль защиты информации в ИСПД – комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения посторонними лицами охраняемых сведений, выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности систем информатизации.

9.2. Основными задачами контроля являются:

- проверка организации выполнения мероприятий по защите информации в учреждении, учета требований по защите информации в разрабатываемых плановых и распорядительных документах;

- выявление демаскирующих признаков объектов ИСПД;

- уточнение зон перехвата обрабатываемой на объектах информации, возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

- проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации;

- проверка выполнения требований по защите ИСПД от несанкционированного доступа;

- проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест;

- проверка знаний работников по вопросам защиты информации и их соответствия требованиям уровня подготовки для конкретного рабочего места;

- оперативное принятие мер по пресечению нарушений требований (норм) защиты информации в ИСПД;

- разработка предложений по устранению (ослаблению) демаскирующих признаков и технических каналов утечки информации.

10. Порядок охраны и допуска посторонних лиц в помещения ИСПД

10.1. В учреждении должна быть предусмотрена физическая охрана технических средств ИСПД (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации.

10.2. В помещениях должна быть установлена пожарная сигнализация.

10.3. Серверное и коммутационное оборудование ИСПД должно находиться под надежным замком, в отдельном помещении или запирающемся шкафу, ключ должен храниться у администратора безопасности. Вскрытие и закрытие помещений осуществляется сотрудниками, работающими в данных помещениях.

10.4. При закрытии помещений и сдачей их под охрану сотрудники, ответственные за помещения проверяют закрытие окон, выключают освещение, бытовые приборы, оргтехнику и проверяют противопожарное состояние помещения, а документы и носители информации на которых содержатся персональные данные, убираются для хранения в запираемый ящик стола или сейф.

10.5. При обнаружении повреждения замков, дверей или наличия других признаков, указывающих на возможное проникновение в помещение посторонних лиц, помещение не вскрывается, а составляется акт, в присутствии охранника. О происшествии немедленно сообщается руководителю и(или) ответственному за защиту информации.

10.5. При срабатывании охранной сигнализации в служебных помещениях в нерабочее время охранник сообщает о случившемся ответственному за помещение, или ответственному за защиту информации, или руководителю, или администратору безопасности.

11. Заключительные положения

11.1. Требования настоящего Положения обязательны для всех сотрудников, обрабатывающих персональные данные.

11.2. Нарушение требований настоящего Положения влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Приложение 1

к Положению о защите персональных данных

в информационных системах персональных данных

ОБЯЗАТЕЛЬСТВО

о неразглашении информации, содержащей персональные данные

Я,__________ (Ф.И.О.), исполняющий (ая) должностные обязанности по замещаемой должности   (указать должность и наименование структурного подразделения) предупрежден (а) о том, что на период исполнения должностных обязанностей мне будет предоставлен допуск к персональным данным, обрабатываемым в отделе медицинской статистики (медицинском информационно-аналитическом центре, бюро медицинской статистики).

Настоящим добровольно принимаю на себя обязательства:

1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.

2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщить об этом непосредственному начальнику.

3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.

4. Выполнять требования нормативно-правовых актов, регламентирующих вопросы защиты персональных данных.

5. В течение года после прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.

Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.

_______________________________   ______________

         (фамилия, инициалы)                          (подпись)

Дата

Источник: журнал «Медицинская статистика и оргметодработа в учреждениях здравоохранения» N 3/2018.