Обеспечение безопасности персональных данных при их автоматизированной обработке в медицинских организациях - Информатизация здравоохранения - Каталог статей - Управление здравоохранением
Главная » Статьи » Информатизация здравоохранения

Обеспечение безопасности персональных данных при их автоматизированной обработке в медицинских организациях

Все знают, сколько сил и времени занимает разработка различных локальных документов (положений, инструкций и т.д.). В соответствии с действующими нормативно-правовыми актами в области защиты персональных данных в организациях,  занимающимися обработкой персональных данных, должны быть разработаны и утверждены соответствующие положения или инструкции. Это касается практически всех медицинских организаций и органов управления здравоохранением.

Мы уже публиковали «Примерное положение о защите персональных данных в информационных системах отделов медицинской статистики и медицинских информационно-аналитических центров» и «Примерное положение о комиссии органа управления здравоохранением для осуществления внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом "О персональных данных"».[1] Сегодня мы публикуем  образец «Положения об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах органов управления здравоохранением и медицинских организациях». Если даже в Вашей организации уже имеется подобный документ, советуем ознакомиться с представленным материалом, т.к. в нем представлен порядок работы персонала и принципы организации и контроля защиты персональных данных при их автоматической обработке.

 

1. Общие положения

 

1.1. Положение об организации и проведении работ в органе управления здравоохранением (далее – ОУЗ)[2] по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных (далее – Положение) разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", методическими рекомендациями ФСТЭК России и ФСБ России в целях обеспечения безопасности персональных данных (далее – ПД) при их обработке в информационных системах персональных данных (далее – ИСПД).

1.2. Положение определяет порядок работы персонала в ИСПД в части обеспечения безопасности ПД при их обработке, порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, разработку и принятие мер по предотвращению возможных опасных последствий таких нарушений, порядок приостановки предоставления ПД в случае обнаружения нарушений порядка их предоставления, порядок обучения персонала практике работы в ИСПД, порядок проверки электронного журнала обращений к ИСПД, порядок контроля соблюдения условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией, правила обновления общесистемного и прикладного программного обеспечения, правила организации антивирусной защиты и парольной защиты ИСПД, порядок охраны и допуска посторонних лиц в помещения ограниченного доступа.

 

2. Порядок работы персонала ИСПД в части обеспечения безопасности ПД при их обработке в ИСПД

 

Настоящий порядок определяет действия персонала ИСПД в части обеспечения безопасности ПД при их обработке в ИСПД.

2.1. Допуск пользователей для работы на компьютерах ИСПД осуществляется на основании приказа и в соответствии со списком лиц, допущенных к работе в ИСПД. С целью обеспечения ответственности за ведение, нормальное функционирование и контроль работы средств защиты информации в ИСПД, назначается ответственный за выполнение работ по обеспечению безопасности ПД при их обработке в ИСПД (администратор безопасности); с целью контроля выполнения необходимых мероприятий по обеспечению безопасности – ответственный за организацию обработки ПД.

2.2. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПД. При этом для хранения информации, содержащей ПД, разрешается использовать только машинные носители информации, учтенные в Журнале учета машинных носителей.

2.3. Пользователь несет ответственность за правильность включения и выключения средств вычислительной техники (СВТ), входа в систему и все действия при работе в ИСПД.

2.4. Вход пользователя в систему может осуществляться по выдаваемому ему электронному идентификатору или по персональному паролю.

2.5. Запись информации, содержащей ПД, осуществляется пользователем на съемные машинные носители информации, соответствующим образом учтенные в Журнале учета машинных носителей.

2.6. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютерах ИСПД. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями данного Положения.

2.7. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПД и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПД, несет персональную ответственность за свои действия и обязан:

- строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПД;

- знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютерах ИСПД;

- хранить в тайне свой пароль (пароли) (в соответствии с пунктами 8.5, 8.6 данного Положения и с установленной периодичностью менять свой пароль (пароли));

- хранить свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе (металлическом шкафу);

- выполнять требования Положения по организации антивирусной защиты в полном объеме.

Немедленно известить ответственного за эксплуатацию ИСПД либо ответственного за выполнение работ по обеспечению безопасности персональных данных в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при обнаружении:

- нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на составляющих узлах и блоках СВТ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (далее – НСД) к данным, защищаемым СВТ;

- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПД;

- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию СВТ, выхода из строя или неустойчивого функционирования узлов СВТ или периферийных устройств (сканера, принтера и т.п.), а также перебоев в системе электроснабжения;

- некорректного функционирования установленных на компьютеры технических средств защиты;

- непредусмотренных отводов кабелей и подключенных устройств.

Пользователю категорически запрещается:

- использовать компоненты программного и аппаратного обеспечения СВТ в неслужебных целях;

- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств ИСПД или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения;

- осуществлять обработку ПД в присутствии посторонних (не допущенных к данной информации) лиц;

- записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных машинных носителях информации (гибких магнитных дисках и т.п.);

- оставлять включенным без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);

- оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);

- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации;

- размещать средства ИСПД так, чтобы с них существовала возможность визуального считывания информации.

2.8. Ответственный за выполнение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – Администратор безопасности) обязан:

- знать состав основных и вспомогательных технических систем и средств (далее – ОТСС и ВТСС), установленных и смонтированных в ИСПД, перечень используемого программного обеспечения (далее – ПО) в ИСПД;

- контролировать целостность печатей (пломб, защитных наклеек) на периферийном оборудовании, защищенных СВТ и других устройствах;

- производить необходимые настройки подсистемы управления доступом установленных в ИСПД СЗИ от НСД и сопровождать их в процессе эксплуатации, при этом:

- реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру и т.д.);

- вводить описания пользователей ИСПД в информационную базу СЗИ от НСД;

- своевременно удалять описания пользователей из базы данных СЗИ при изменении списка допущенных к работе лиц;

- контролировать доступ лиц в помещение в соответствии со списком сотрудников, допущенных к работе в ИСПД;

- проводить инструктаж сотрудников – пользователей компьютеров по правилам работы с используемыми техническими средствами и системами защиты информации;

- контролировать своевременное (не реже чем один раз в течение 360 дней) проведение смены паролей для доступа пользователей к компьютерам и ресурсам ИСПД;

- обеспечивать постоянный контроль выполнения сотрудниками установленного комплекса мероприятий по обеспечению безопасности информации в ИСПД;

- осуществлять контроль порядка создания, учета, хранения и использования резервных и архивных копий массивов данных;

- настраивать и сопровождать подсистемы регистрации и учета действий пользователей при работе в ИСПД;

- вводить в базу данных СЗИ от несанкционированного доступа описания событий, подлежащих регистрации в системном журнале;

- проводить анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам не реже одного раза в 10 дней;

- организовывать печать файлов пользователей на принтере и осуществлять контроль соблюдения установленных правил и параметров регистрации и учета бумажных носителей информации. Сопровождать подсистемы обеспечения целостности информации в ИСПД;

- периодически тестировать функции СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей;

- восстанавливать программную среду, программные средства и настройки СЗИ при сбоях;

- вести две копии программных средств СЗИ от НСД и контролировать их работоспособность;

- контролировать отсутствие на магнитных носителях остаточной информации по окончании работы пользователей;

- периодически обновлять антивирусные средства (базы данных), контролировать соблюдение пользователями порядка и правил проведения антивирусного тестирования:

- проводить работу по выявлению возможных каналов вмешательства в процесс функционирования ИСПД и осуществления несанкционированного доступа к информации и техническим средствам вычислительной техники;

- сопровождать подсистему защиты информации от утечки за счет побочных электромагнитных излучений и наводок, контролировать соблюдение требований по размещению и использованию технических средств ИСПД;

- контролировать соответствие документально утвержденного состава аппаратной и программной части ИСПД реальным конфигурациям ИСПД, вести учет изменений аппаратно-программной конфигурации;

- обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания ИСПД и отправке его в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта);

- присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию ИСПД;

- вести Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания СВТ, выполнения профилактических работ, установки и модификации аппаратных и программных средств СВТ;

- поддерживать установленный порядок проведения антивирусного контроля согласно требованиям настоящего Положения, в случае отказа средств и систем защиты информации принимать меры по их восстановлению;

- докладывать ответственному за защиту информации, ответственному за эксплуатацию ИСПД о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации;

- вести документацию на ИСПД в соответствии с требованиями нормативных документов.

2.9. Администратор безопасности, а также ответственный за организацию обработки персональных данных имеют право:

- требовать от сотрудников – пользователей ИСПД соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в ИСПД;

- инициировать проведение служебных проверок по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов ИСПД;

- требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;

- участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.

 

3. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных, защищаемой информации и средств защиты информации

 

3.1. Настоящий порядок определяет организацию резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.

3.2. К использованию для создания резервной копии в ИСПД допускаются только зарегистрированные в журнале учета носители.

3.3. Администратор безопасности ежеквартально осуществляет резервное копирование конфиденциальной информации.

3.4. Носители информации (ЖМД, CD, USB-накопитель, другие), предназначенные для создания резервной копии и хранения конфиденциальной информации, выдаются установленным порядком руководителем, ответственным за защиту информации, и (или) администратором. По окончании процедуры резервного копирования электронные носители конфиденциальной информации сдаются на хранение администратору безопасности или руководителю, или ответственному за защиту информации.

3.5. Перед резервным копированием пользователь или администратор безопасности обязан проверить электронный носитель (ЖМД, CD, USB-накопитель) на отсутствие вирусов.

3.6. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль в соответствии с п. 7 настоящего Положения.

3.7. Запрещается запись посторонней информации на электронные носители (ЖМД, CD, USB-накопитель и другие) резервной копии.

3.8. Порядок создания резервной копии:

- вставить в компьютер зарегистрированный электронный носитель (ЖМД, CD, USB-накопитель, другие) для резервного копирования;

- выбрать необходимый каталог (файл) для создания резервного архива;

- при использовании систем управления базами данных необходимо создать файл с резервной копией защищаемой информации с помощью встроенных средств системы;

- выполнить процедуру создания резервной копии;

- произвести копирование на отчуждаемый носитель;

- произвести отключение отчуждаемого носителя и, создав необходимые записи в журналах, убрать носитель в хранилище.

3.9. Хранение отчуждаемого носителя с резервной копией защищаемой информации осуществляется в специальном металлическом хранилище совместно с ключевой и аутентифицирующей информацией.

3.10. При восстановлении работоспособности программного обеспечения сначала осуществляется резервное копирование защищаемой информации, затем производится полная деинсталляция некорректно работающего программного обеспечения.

3.11. Восстановление программного обеспечения производится путем его инсталляции с использованием эталонных дистрибутивов, хранение которых осуществляется администратором безопасности в специальном хранилище.

3.12. При необходимости ремонта технических средств с них удаляются опечатывающие пломбы и по согласованию с администратором безопасности, ответственным за защиту информации, при условии проведенной аттестации информационной системы, представителем организации, проводившей аттестацию, оборудование передается в сервисный центр производителя. Ремонт носителей защищаемой информации не допускается. Неисправные носители с защищаемой информацией подлежат уничтожению в соответствии с порядком уничтожения носителей защищаемой информации. Работа с использованием неисправных технических средств запрещается.

3.13. При работе на компьютерах ИСПД рекомендуется использовать источники бесперебойного питания с целью предотвращения повреждения технических средств и (или) защищаемой информации в результате сбоев в сети электропитания.

3.14. При восстановлении работоспособности средств защиты информации следует выполнить их настройку в соответствии с требованиями безопасности информации, изложенными в техническом задании на создание системы защиты персональных данных. Настройку данных средств должен выполнять сотрудник организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

3.15. Восстановление средств защиты информации производится с использованием эталонных сертифицированных дистрибутивов, которые хранятся в хранилище. После успешной настройки средств защиты информации необходимо выполнить резервное копирование настроек данных средств с помощью встроенных в них функций на зарегистрированный носитель.

3.16. Ответственность за проведение резервного копирования в ИСПД в соответствии с требованиями настоящего Положения возлагается на администратора безопасности.

3.17. Ответственность за проведение мероприятий по восстановлению работоспособности технических средств и программного обеспечения баз данных возлагается на администратора безопасности.

3.18. Ответственность за проведение мероприятий по восстановлению средств защиты информации (далее – СЗИ) возлагается на администратора безопасности.

 

4. Порядок контроля защиты информации в ИСПД и приостановки предоставления ПД в случае обнаружения нарушений порядка их предоставления. Порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации и принятие мер по предотвращению возможных опасных последствий

 

4.1. Контроль защиты информации в ИСПД – комплекс организационных и технических мероприятий, которые организуются и осуществляются в целях предупреждения и пресечения возможности получения посторонними лицами охраняемых сведений, выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение характеристик безопасности информации или работоспособности систем информатизации.

4.2. Основными задачами контроля являются:

- проверка организации выполнения мероприятий по защите информации в подразделениях, учета требований по защите информации в разрабатываемых плановых и распорядительных документах;

- выявление демаскирующих признаков объектов ИСПД;

- уточнение зон перехвата обрабатываемой на объектах информации, возможных каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

- проверка выполнения установленных норм и требований по защите информации от утечки по техническим каналам, оценка достаточности и эффективности мероприятий по защите информации;

- проверка выполнения требований по защите ИСПД от несанкционированного доступа;

- проверка выполнения требований по антивирусной защите автоматизированных систем и автоматизированных рабочих мест;

- проверка знаний работников по вопросам защиты информации и их соответствия требованиям уровня подготовки для конкретного рабочего места;

- оперативное принятие мер по пресечению нарушений требований (норм) защиты информации в ИСПД;

- разработка предложений по устранению (ослаблению) демаскирующих признаков и технических каналов утечки информации.

4.3. Контроль защиты информации проводится с учетом реальных условий по всем физическим полям, по которым возможен перехват информации, циркулирующей в ИСПД, и осуществляется по объектовому принципу, при котором на объекте одновременно проверяются все вопросы защиты информации. Перечень каналов утечки устанавливается в соответствии с моделью угроз.

4.4. В ходе контроля проверяются:

- соответствие принятых мер по обеспечению безопасности персональных данных (далее – ОБ ПД);

- своевременность и полнота выполнения требований настоящего Положения и других руководящих документов ОБ ПД;

- полнота выявления демаскирующих признаков охраняемых сведений об объектах защиты и возможных технических каналов утечки информации, несанкционированного доступа к ней и программно-технических воздействий на информацию;

- эффективность применения организационных и технических мероприятий по защите информации;

- устранение ранее выявленных недостатков.

Кроме того, могут проводиться необходимые измерения и расчеты приглашенными для этих целей специалистами организации, имеющей соответствующие лицензии ФСТЭК России.

4.5. Основными видами технического контроля являются визуально-оптический контроль, контроль эффективности защиты информации от утечки по техническим каналам, контроль несанкционированного доступа к информации и программно-технических воздействий на информацию.

4.6. Полученные в ходе ведения контроля результаты обрабатываются и анализируются в целях определения достаточности и эффективности предписанных мер защиты информации и выявления нарушений. При обнаружении нарушений норм и требований по защите информации администратор безопасности докладывает руководителю для принятия ими решения о прекращении обработки информации и проведения соответствующих организационных и технических мер по устранению нарушения. Результаты контроля защиты информации оформляются актами либо в соответствующих журналах учета результатов контроля.

4.7. Невыполнение предписанных мероприятий по защите ПД считается предпосылкой к утечке информации (далее – предпосылка).

По каждой предпосылке для выяснения обстоятельств и причин невыполнения установленных требований по указанию Министра или ответственного за организацию обработки персональных данных проводится расследование.

Для проведения расследования назначается комиссия с привлечением администратора безопасности. Комиссия обязана установить, имела ли место утечка сведений, обстоятельства, ей сопутствующие, установить лиц, виновных в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению, и выработать рекомендации по их устранению. После окончания расследования руководитель принимает решение о наказании виновных лиц и необходимых мероприятиях по устранению недостатков.

4.8. Ведение контроля защиты информации осуществляется путем проведения периодических, плановых и внезапных проверок объектов защиты. Периодические, плановые и внезапные проверки объектов организации проводятся, как правило, силами администратора безопасности и (или) ответственного за защиту информации, в соответствии с утвержденным планом или по согласованию с руководителем.

4.9. Одной из форм контроля защиты информации является обследование объектов ИСПД. Оно проводится не реже одного раза в год рабочей группой в составе администратора безопасности, ответственного за защиту информации, ответственного за эксплуатацию объекта. Для обследования ИСПД может привлекаться организация, имеющая лицензию ФСТЭК России на деятельность по технической защите информации.

4.10. Обследование ИСПД проводится с целью определения соответствия помещений, технических и программных средств требованиям по защите информации, установленным в Аттестате соответствия (если проводилась аттестация), и (или) требованиям по безопасности персональных данных.

4.11. В ходе обследования проверяется:

- соответствие текущих условий функционирования обследуемого объекта ИСПД условиям, сложившимся на момент проверки;

- соблюдение организационно-технических требований помещений, в которых располагается ИСПД;

- сохранность печатей, пломб на технических средствах передачи и обработки информации, а также на устройствах их защиты, отсутствие повреждений экранов корпусов аппаратуры, оболочек кабелей и их соединений с шинами заземления;

- соответствие выполняемых на объекте ИСПД мероприятий по защите информации данным, изложенным в настоящем Положении;

- выполнение требований по защите информационных систем от несанкционированного доступа;

- выполнение требований по антивирусной защите.

4.12. Для выявления радиоэлектронных устройств и проводов неизвестного назначения, преднамеренного нарушения защитных свойств оборудования, а также не предусмотренных правилами эксплуатации отводов от оборудования и соединительных линий, проложенных в выделенных и защищаемых помещениях, а также других нарушений и способов возникновения каналов утечки информации необходимо:

- тщательно осмотреть мебель, сувениры (особенно иностранного производства), оборудование, установленное в этом помещении, осветительную аппаратуру, ниши отопительных батарей, шторы, оконные проемы;

- вскрыть и осмотреть розетки, выключатели осветительной сети, люки вентиляции и каналы скрытой проводки;

- проверить качество установки стеклопакетов оконных проемов;

- провести аппаратурную проверку помещения на отсутствие возможно внедренных электронных устройств перехвата информации (при наличии соответствующей аппаратуры), при необходимости для проведения данных видов работ могут привлекаться организации, имеющие соответствующие лицензии ФСБ России.

4.13. Государственный контроль состояния защиты информации осуществляется Федеральной службой по техническому и экспортному контролю России и Федеральной службой безопасности России в рамках их полномочий в соответствии с действующим законодательством РФ. Доступ представителей указанных федеральных органов исполнительной власти на объекты для проведения проверки, а также к работам и документам в объеме, необходимом для осуществления контроля, обеспечивается в установленном порядке по предъявлении служебного удостоверения сотрудника, а также документа установленной формы на право проведения проверки.

 

5. Порядок обучения персонала практике работы в ИСПД в части обеспечения безопасности персональных данных

 

5.1. Перед началом работы в ИСПД пользователи должны ознакомиться с инструкциями по использованию программных и технических средств, по использованию средств защиты информации под роспись.

5.2. Пользователи должны продемонстрировать администратору безопасности и (или) ответственному за защиту информации наличие необходимых знаний и умений для выполнения требований настоящего Положения. Администратор безопасности должен вести журнал учета проверок знаний и навыков пользователей.

5.3. Пользователи, демонстрирующие недостаточные знания и умения для обеспечения безопасности персональных данных в соответствии с требованиями настоящего Положения, к работе в ИСПД не допускаются.

5.4. Ответственным за организацию обучения и оказание методической помощи является администратор безопасности.

5.5. Для проведения занятий, семинаров и совещаний могут привлекаться специалисты по программному и техническому обеспечению, а также специалисты органов по аттестации объектов ИСПД, организаций-лицензиатов ФСТЭК России и ФСБ России.

5.6. К работе в ИСПД допускаются только сотрудники, прошедшие первичный инструктаж ОБ в ИСПД и показавшие твердые теоретические знания и практические навыки, о чем делается соответствующая запись в Журнале учета допуска к работе в ИСПД.

5.7. Администратор безопасности должен иметь профильное образование (либо дипломы о повышении квалификации) в области защиты информации. Рекомендуется прохождение администратором специализированных курсов по администрированию средств защиты информации, используемых в ИСПД.

 

6. Порядок проверки электронного журнала обращений к ИСПД

 

6.1. Настоящий раздел Положения определяет порядок проверки электронных журналов обращений к ресурсам ИСПД.

6.2. Проверка электронного журнала обращений проводится с целью выявления несанкционированного доступа к защищаемой информации в ИСПД.

6.3. Право проверки электронного журнала обращений имеют:

- ответственный за организацию обработки персональных данных;

- ответственный за выполнение работ по обеспечению безопасности ПД при их обработке в ИСПД;

- Министр здравоохранения.

6.4. На технических средствах ИСПД, на которых установлены специализированные средства защиты информации (далее – СЗИ) типа "Dallas Lock", "Secret Net" и другие, проверка электронного журнала производится в соответствии с прилагаемым к указанным СЗИ Руководством.

6.5. Если в ходе периодических, плановых или внезапных проверок ИСПД выявлены случай НСД к информации конфиденциального характера, то проводится расследование согласно пункту 4.7 данного Положения.

6.6. Проверке подлежат все электронные журналы ИСПД.

6.7. Проверка должна проводиться не реже чем один раз в неделю с целью своевременного выявления фактов нарушения требований настоящего Положения.

6.8. Факты проверок электронных журналов отражаются в специальном журнале проверок. После каждой проверки Администратор безопасности делает соответствующую отметку в журнале и ставит свою роспись.

 

7. Правила антивирусной защиты

 

7.1. Настоящие правила определяют требования к организации защиты объекта ИСПД от разрушающего воздействия вредоносного программного обеспечения (ПО), компьютерных вирусов и устанавливают ответственность руководителя и сотрудников, эксплуатирующих и сопровождающих компьютеры в составе ИСПД, за их выполнение. Настоящие правила распространяются на все объекты ИСПД.

7.2. К использованию на компьютерах допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств.

7.3. Установка и начальная настройка средств антивирусного контроля на компьютерах осуществляется администратором безопасности.

7.4. Администратор безопасности осуществляет периодическое обновление антивирусных пакетов и контроль их работоспособности.

7.5. Ярлык (ссылка) для запуска антивирусной программы должен быть доступен всем пользователям информационной системы.

7.6. Еженедельно в начале работы после загрузки компьютера в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов компьютеров.

Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, лентах, CD). Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).

Настройки средств антивирусной защиты должны быть выполнены в соответствии с требованиями безопасности персональных данных определенного для данной ИСПД класса. Настройку средств антивирусной защиты выполняет администратор безопасности.

7.7. Файлы, помещаемые в электронный архив на магнитных носителях, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.

7.8. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера администратором безопасности должна быть выполнена антивирусная проверка ИСПД.

7.9. На компьютеры запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.

7.10. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь самостоятельно (или вместе с администратором безопасности) должен провести внеочередной антивирусный контроль компьютера.

В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователь обязан:

- приостановить обработку данных в ИСПД;

- немедленно поставить в известность о факте обнаружения зараженных вирусом файлов администратора безопасности, а также смежные подразделения, использующие эти файлы в работе;

- совместно с владельцем зараженных вирусом файлов провести анализ возможности, дальнейшего их использования;

- провести лечение или уничтожение зараженных файлов.

7.11. Ответственность за организацию антивирусного контроля в ИСПД в соответствии с требованиями настоящего Положения возлагается на ответственного за защиту информации.

7.12. Ответственность за проведение мероприятий антивирусной защиты в конкретной ИСПД и соблюдение требований настоящего Положения возлагается на администратора безопасности и всех пользователей данной ИСПД.

 

8. Правила парольной защиты

 

8.1. Данные правила регламентируют организационно-технические мероприятия по обеспечению процессов генерации, смены и прекращения действия паролей в ИСПД, а также контроль действий пользователей при работе с паролями.

8.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПД и контроль действий пользователей при работе с паролями возлагается на администратора безопасности.

8.3. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями ОВТ самостоятельно с учетом следующих требований:

- пароль должен быть не менее 6 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.);

- символы паролей для рабочих станций, на которых установлено средство защиты информации от несанкционированного доступа, должны вводиться в режиме латинской раскладки клавиатуры;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

- при смене пароля новое значение должно отличаться от предыдущих;

- пользователь не имеет права сообщать личный пароль другим лицам.

Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

8.4. В случае возникновения нештатных ситуаций, форс-мажорных обстоятельств, технологической необходимости использования имен и паролей сотрудников (исполнителей) в их отсутствие, сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение руководителю структурного подразделения. Запечатанные конверты (пеналы) с паролями исполнителей должны храниться в недоступном месте у руководителя структурного подразделения.

8.5. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в течение 360 дней.

8.6. Внеплановая смена личного пароля или удаление учетной записи пользователя ИСПД в случае прекращения его полномочий должна производиться администратором безопасности (либо новым постоянным пользователем) немедленно после окончания последнего сеанса работы данного пользователя с системой на основании указания начальника отдела.

8.7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) администратора безопасности.

8.8. В случае компрометации личного пароля пользователя ИСПД должны быть немедленно предприняты меры по восстановлению парольной защиты.

8.9. Контроль действий пользователей при работе с паролями, соблюдение порядка их смены, хранения и использования возлагается на администратора безопасности.

 

9. Правила обновления общесистемного и прикладного программного обеспечения, технического обслуживания ИСПД

 

9.1. Настоящие правила регламентируют обеспечение безопасности информации при проведении обновления, модификации общесистемного и прикладного программного обеспечения, технического обслуживания и при возникновении нештатных ситуаций в работе ИСПД.

9.2. Все изменения конфигураций технических и программных средств ИСПД должны производиться только на основании заявок ответственного за эксплуатацию конкретного ИСПД.

9.3. Право внесения изменений в конфигурацию аппаратно-программных средств, защищенных ИСПД предоставляется:

- в отношении системных и прикладных программных средств – администратору безопасности по согласованию (в случае, если проводилась аттестация) с органом по аттестации, проводившим аттестацию данной ИСПД;

- в отношении аппаратных средств, а также в отношении программно-аппаратных средств защиты – администратору безопасности по согласованию (в случае, если проводилась аттестация) с органом по аттестации, проводившим аттестацию данной ИСПД.

9.4. Изменение конфигурации аппаратно-программных средств ИСПД кем-либо, кроме перечисленных в п. 9.3 уполномоченных сотрудников и подразделений, запрещено.

9.5. Процедура внесения изменений в конфигурацию системных и прикладных программных средств ИСПД инициируется заявкой ответственного за эксплуатацию ИСПД.

9.6. В заявке могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств ИСПД:

- установка (развертывание) на компьютер(ы) программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи в данной ИСПД);

- обновление (замена) на компьютере(ах) программных средств, необходимых для решения определенной задачи (обновление версий, используемых для решения определенной задачи программ);

- удаление с компьютера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данном компьютере).

9.7. Также в заявке указывается условное наименование ИСПД. Наименования задач указываются в соответствии с перечнем задач архива дистрибутивов установленного программного обеспечения, которые можно решать с использованием указанного компьютера.

9.8. Заявку ответственного за эксплуатацию ИСПД, в которой требуется произвести изменения конфигурации, рассматривает ответственный за организацию обработки персональных данных в ОУЗ, визирует ее, утверждая тем самым производственную необходимость проведения указанных в заявке изменений, после чего заявка передается администратору безопасности для непосредственного исполнения работ по внесению изменений в конфигурацию компьютера, указанного в заявке ИСПД.

9.9. Подготовка обновления, модификации общесистемного и прикладного программного обеспечения ИСПД, тестирование, стендовые испытания (при необходимости) и передача исходных текстов, документации и дистрибутивных носителей программ в архив дистрибутивов установленного программного обеспечения, внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на компьютерах (обновление) и удаление системных и прикладных программных средств производится администратором безопасности по согласованию с органом по аттестации (в случае, если проводилась аттестация), проводившим аттестацию данной ИСПД. Работы производятся в присутствии ответственного за эксплуатацию данной ИСПД.

9.10. Установка или обновление подсистем ИСПД должны проводиться в строгом соответствии с технологией проведения модификаций программных комплексов данных подсистем.

9.11. Установка и обновление ПО (системного, тестового и т.п.) на компьютерах производится только с оригинальных лицензионных дистрибутивных носителей; прикладного ПО – с эталонных копий программных средств, полученных из архива дистрибутивов установленного программного обеспечения.

9.12. Все добавляемые программные и аппаратные компоненты должны быть предварительно проверены на работоспособность, а также отсутствие опасных функций.

9.13. После установки (обновления) ПО администратор безопасности должен произвести требуемые настройки средств управления доступом к компонентам компьютера и проверить работоспособность ПО и правильность их настройки и произвести соответствующую запись в Журнале учета нештатных ситуаций в ИСПД, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПД, делает отметку о выполнении (на обратной стороне заявки) и в Техническом паспорте.

9.14. Формат записей Журнала учета нештатных ситуаций ИСПД, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПД устанавливается приказом Министра.

9.15. При возникновении ситуаций, требующих передачи технических средств в сервисный центр с целью ремонта, ответственный за эксплуатацию ИСПД докладывает об этом ответственному за защиту информации, который в свою очередь связывается с сотрудниками органа по аттестации (в случае, если проводилась аттестация) и в дальнейшем действует согласно их инструкциям. В данном случае администратор безопасности обязан предпринять необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Оригиналы заявок (документов), на основании которых производились изменения в составе программных средств компьютеров с отметками о внесении изменений в состав программных средств, должны храниться вместе с техническим паспортом на ИСПД и Журналом учета нештатных ситуаций ИСПД, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПД у ответственного за защиту информации.

9.16. Копии заявок могут храниться у администратора безопасности:

- для восстановления конфигурации ИСПД после аварий;

- для контроля правомерности установки на ИСПД средств для решения соответствующих задач при разборе конфликтных ситуаций;

- для проверки правильности установки и настройки средств защиты ИСПД.

9.17. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью администратора безопасности и сотрудника, ответственного за эксплуатацию данной ИСПД.

9.18. С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе на компьютерах конкретной ИСПД, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать на данном компьютере.

9.19. Использование несколькими сотрудниками при работе в ИСПД одного и того же имени пользователя ("группового имени") запрещено.

9.20. Процедура регистрации (создания учетной записи) пользователя и предоставления ему (или изменения его) прав доступа к ресурсам ИСПД инициируется заявкой ответственного за эксплуатацию данной ИСПД, в которой указывается:

- содержание запрашиваемых изменений (регистрация нового пользователя ИСПД, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам ИСПД ранее зарегистрированного пользователя);

- должность (с полным наименованием отдела), фамилия, имя и отчество сотрудника;

- имя пользователя (учетной записи) данного сотрудника;

- полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач в ИСПД).

9.21. Заявку рассматривает ответственный за организацию обработки персональных данных, визируя ее, утверждая тем самым производственную необходимость допуска (изменения прав доступа) данного сотрудника к необходимым для решения им указанных в заявке задач ресурсам ИСПД. Затем подписывает задание администратору безопасности на внесение необходимых изменений в списки пользователей соответствующих подсистем ИСПД.

9.22. На основании задания, в соответствии с документацией на средства защиты от несанкционированного доступа, администратор безопасности производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора), заявленных прав доступа к ресурсам ИСПД и другие необходимые действия, указанные в задании. Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в течение 360 дней.

9.23. После внесения изменений в списки пользователей администратор безопасности должен обеспечить настройки средств защиты, соответствующие требованиям безопасности указанной ИСПД. По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписью исполнителя – администратор безопасности.

9.24. Сотруднику, зарегистрированному в качестве нового пользователя ИСПД, сообщается имя соответствующего ему пользователя и может выдаваться персональный идентификатор (для работы в режиме усиленной аутентификации) и начальное(-ые) значение(-ия) пароля(-ей), которое(-ые) он обязан сменить при первом же входе в систему.

9.25. Исполненные заявка и задание (за подписью администратора безопасности) передаются руководителю на хранение, которые могут впоследствии использоваться:

- для восстановления полномочий пользователей после аварий ИСПД;

- для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПД при разборе конфликтных ситуаций;

- для проверки сотрудниками контролирующих органов правильности настройки средств разграничения доступа к ресурсам ИСПД.

 

10. Порядок контроля соблюдения условий использования средств защиты информации, в том числе криптографических

 

10.1. Данный раздел Положения определяет порядок контроля соблюдения условий использования средств защиты информации (далее – СЗИ).

10.2. Технические средства защиты информации являются важным компонентом ОБ ПД.

10.3. Порядок работы с техническими СЗИ определен в соответствующих руководствах по настройке и использованию СЗИ обязательных для исполнения, как сотрудниками, обрабатывающими конфиденциальную информацию, так и администратором безопасности ИСПД.

10.4. Право проверки соблюдения условий использования средств защиты информации имеют:

- министр;

- ответственный за организацию обработки персональных данных;

- ответственный за выполнение работ по обеспечению безопасности персональных данных.

10.5. Пользователю ИСПД категорически запрещается:

- обрабатывать конфиденциальную информацию с отключенными СЗИ;

- менять настройки СЗИ.

10.6. Администратору безопасности запрещается менять настройки программно-аппаратных СЗИ, предустановленные специалистом организации, имеющей лицензию на деятельность по технической защите информации, без согласования с этой организацией.

10.7. Если в ходе периодических, плановых или внезапных проверок ИСПД выявлено нарушение требования п. 10.5, то проводится расследование согласно пункту 4.7 данного Положения.

10.8. Криптографические СЗИ должны использоваться в соответствии с технической и эксплуатационной документацией на них, а также в соответствии с правилами пользования ими.

 

11. Порядок охраны и допуска посторонних лиц в защищаемые помещения

 

11.1. Настоящее Положение устанавливает порядок охраны (сдачи под охрану) защищаемых помещений ИСПД.

11.2. Вскрытие и закрытие помещений осуществляется сотрудниками, работающими в данных помещениях.

Список сотрудников, имеющих право вскрывать (сдавать под охрану) и опечатывать помещения утверждается министром и передается на пост охраны.

11.3. При отсутствии сотрудников, ответственных за вскрытие (сдачу под охрану) помещений, данные помещения могут быть вскрыты комиссией, созданной на основании приказа, о чем составляется акт.

11.4. При закрытии помещений и сдачей их под охрану сотрудники, ответственные за помещения, проверяют закрытие окон, выключают освещение, бытовые приборы, оргтехнику и проверяют противопожарное состояние помещения, а документы и носители информации, на которых содержится конфиденциальная информация, убираются для хранения в опечатываемый сейф (металлический шкаф).

11.5. Помещение сдается под охрану следующим образом:

- опечатывается помещение и пенал с ключами;

- получается подтверждение от охранника о включении сигнализации и постановке помещения под охранную сигнализацию;

- факт опечатывания помещения подтверждается охранником;

- сдается помещение и опечатанный пенал с ключами под роспись с указанием даты и времени сдачи под охрану.

11.6. Сотрудник, имеющий право на вскрытие помещений:

- получает на посту охраны пенал с ключами от помещения под роспись в Журнале с указанием даты и времени;

- проверяет целостность оттиска печати на пенале;

- производит запись в Журнале о вскрытии помещения с указанием фамилии и времени;

- производит проверку оттиска печати на двери помещения и исправность запоров;

- вскрывает помещение.

11.7. При обнаружении нарушений целостности оттисков печатей, повреждения запоров или наличия других признаков, указывающих на возможное проникновение в помещение посторонних лиц, помещение не вскрывается, а составляется акт в присутствии охранника. О происшествии немедленно сообщается руководителю и (или) ответственному за защиту информации.

Одновременно принимаются меры по охране места происшествия и до прибытия должностных лиц в помещение никто не допускается.

11.8. Руководитель, ответственный за защиту информации, и администратор безопасности организуют проверку ИСПД на предмет несанкционированного доступа к конфиденциальной информации и наличие документов и машинных носителей информации.

11.9. При срабатывании охранной сигнализации в служебных помещениях в нерабочее время охранник сообщает о случившемся ответственному за помещение или ответственному за защиту информации, или руководителю, или администратору безопасности. Помещения вскрывать запрещается.

11.10. Помещения вскрываются ответственным за помещение или руководителем, или ответственным за защиту информации в присутствии сотрудника охраны с составлением акта.

Если обнаружено вторжение в защищаемое помещение, то необходимо действовать в порядке, указанном в пункте 4.7 настоящего Положения.

11.11. При передаче дежурства, если помещение в течение дня не вскрывалось, а также в выходные и праздничные дни принимающая дежурство смена поста охраны проверяет целостность печатей на дверях и пенале с ключами с отражением в Журнале приема и сдачи дежурства и Журнале приема (сдачи) под охрану режимных помещений и ключей от них.

11.12. В соответствии с требованиями данного Положения при обработке защищаемой информации в ИСПД исключить неконтролируемое пребывание посторонних лиц в пределах границ контролируемой зоны ИСПД, определенных соответствующим приказом.

 

12. Порядок стирания защищаемой информации и уничтожения носителей защищаемой информации

 

12.1. В обязательном порядке уничтожению подлежат поврежденные, выводимые из эксплуатации носители, содержащие защищаемую информацию, использование которых не предполагается в дальнейшем. Стиранию подлежат носители, содержащие защищаемую информацию, которые выводятся из эксплуатации в составе ИСПД. Не допускаются стирание неисправных носителей и передача их в сервисный центр для ремонта. Такие носители должны уничтожаться в соответствии с настоящим Порядком.

12.2. Стирание должно производиться по технологии, предусмотренной для данного типа носителя, с применением сертифицированных средств гарантированного уничтожения информации (допускается задействовать механизмы затирания встроенные в сертифицированные средства защиты информации).

12.3. Уничтожение носителей производится путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления информации (перед уничтожением, если носитель исправен, должно быть произведено гарантирование стирания информации на носителе). Непосредственные действия по уничтожению конкретного типа носителя должны исключать возможность восстановления информации.

12.4. Бумажные и прочие сгораемые носители (конверты с неиспользуемыми более паролями) уничтожают путем сжигания или с помощью любых бумагорезательных машин.

12.5. По факту уничтожения или стирания носителей составляется акт, в журналах учета делаются соответствующие записи.

12.6. Процедуры стирания и уничтожения осуществляются комиссией, в которую входят: ответственный за эксплуатацию ИСПД, ответственный за защиту информации, администратор безопасности.

 

13. Заключительные положения

 

13.1. Требования настоящего Положения обязательны для всех сотрудников, обрабатывающих конфиденциальную информацию (персональные данные).

13.2. Нарушение требований настоящего Положения влечет за собой ответственность в соответствии с законодательством РФ.

 

Источник: журнал «Медицинская статистика и оргметодработа в учреждениях здравоохранения» N 4/2018.

 

[1] См. N 3/2018 нашего журнала.

[2] Настоящее положение можно использовать не только в органах управления здравоохранением, но и в медицинских организациях.

Другие статьи по теме
Категория: Информатизация здравоохранения | Добавил: zdrav1 (21.07.2018)
Просмотров: 1214
Всего комментариев: 0
Яндекс.Метрика