Приказ министерства здравоохранения Иркутской области от 06.11.2015 N 120-мпр "Об утверждении инструкций и положения при работе в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области"
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ ИРКУТСКОЙ ОБЛАСТИ
ПРИКАЗ
от 6 ноября 2015 г. № 120-мпр
ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИЙ И ПОЛОЖЕНИЯ ПРИ РАБОТЕ
В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ УПРАВЛЕНИЯ
ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТЬЮ В МИНИСТЕРСТВЕ
ЗДРАВООХРАНЕНИЯ ИРКУТСКОЙ ОБЛАСТИ
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", руководствуясь пунктом 9 Положения о министерстве здравоохранения Иркутской области, утвержденного постановлением Правительства Иркутской области от 16 июля 2010 года № 174-пп, распоряжением Губернатора Иркутской области от 4 октября 2015 года № 683-рк, приказываю:
1. Утвердить:
а) Инструкцию по работе с отчуждаемыми носителями защищаемой информации, в том числе с ключевыми носителями в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области (Приложение 1);
б) Инструкцию по организации парольной защиты в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области (Приложение 2);
в) Инструкцию по организации антивирусной защиты в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области (Приложение 3);
г) Инструкцию о порядке работы при подключении к сетям общего пользования и международного обмена в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области (Приложение 4);
д) Инструкцию по действиям персонала во внештатных ситуациях при обработке защищаемой информации в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области (Приложение 5);
е) Инструкцию по приему под охрану кабинетов, где установлены компоненты автоматизированной информационной системы управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области (Приложение 6);
ж) Инструкцию резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области (Приложение 7);
з) Инструкцию по обращению с сертифицированными средствами криптографической защиты информации в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области (Приложение 8);
и) Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в министерстве здравоохранения Иркутской области (Приложение 9).
2. Настоящий приказ подлежит официальному опубликованию.
Заместитель министра
здравоохранения Иркутской области
А.С.КУПЦЕВИЧ
Приложение 1
к приказу министерства
здравоохранения Иркутской области
от 6 ноября 2015 г. № 120-мпр
ИНСТРУКЦИЯ
ПО РАБОТЕ С ОТЧУЖДАЕМЫМИ НОСИТЕЛЯМИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ,
В ТОМ ЧИСЛЕ С КЛЮЧЕВЫМИ НОСИТЕЛЯМИ В АВТОМАТИЗИРОВАННОЙ
ИНФОРМАЦИОННОЙ СИСТЕМЕ УПРАВЛЕНИЯ ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ
ДЕЯТЕЛЬНОСТЬЮ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ
ИРКУТСКОЙ ОБЛАСТИ
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящая Инструкция регулирует порядок обслуживания и обеспечение безопасности несъемных электронных носителей информации, к которым относятся базы данных на жестких магнитных дисках, содержащие информацию, подлежащую защите.
2. Настоящей Инструкцией определяется порядок учета, хранения и обращения со съемными и ключевыми носителями информации (далее - носитель информации) и их утилизации. К съемным носителям информации относятся носители для однократной или многократной записи, такие как CD-R, CD-RW, DVD-R, DVD-RW, USB-флеш-накопители, дискеты и т.д.
3. Настоящая Инструкция содержит обязательные для пользователей министерства здравоохранения Иркутской области, работающих в автоматизированной информационной системе управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство), правила обращения с отчуждаемыми (съемными) носителями, использующимися для записи конфиденциальной информации, и ключевыми носителями информации.
4. Для целей настоящей Инструкции используются следующие основные понятия:
а) съемные носители информации - различные по физической структуре и конструктивному исполнению носители информации, используемые для записи и накопления информации с целью непосредственного ввода ее в электронную вычислительную машину, обработки и передачи при помощи технических средств;
б) ключевые носители информации - съемный носитель информации, на который записана уникальная секретная ключевая информация (идентификатор пользователя, закрытый ключ электронной подписи), используемая для подтверждения целостности, подлинности и авторства электронных документов, передаваемых в электронном виде;
в) безопасность данных на электронных носителях информации - сохранение конфиденциальности, исключение несанкционированного проникновения либо иных действий, в том числе не имеющих злого умысла, которые могут привести к потере, искажению, изменению, копированию и другим нежелательным действиям с данными.
5. Организационное и техническое обеспечение безопасности конфиденциальной информации, хранящейся на электронных носителях информации в АИС, с использованием допустимых программно-аппаратных методов защиты, контроль за действиями пользователей, работающих в АИС при работе с указанными носителями информации, осуществляется администратором информационной безопасности Министерства.
6. Секретная ключевая информация, находящаяся на ключевом носителе, относится к категории сведений ограниченного распространения.
Глава 2. ОРГАНИЗАЦИЯ РАБОТЫ С ОТЧУЖДАЕМЫМИ НОСИТЕЛЯМИ
ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ, В ТОМ ЧИСЛЕ С КЛЮЧЕВЫМИ НОСИТЕЛЯМИ
7. Все находящиеся на хранении и в обращении носители информации конфиденциальной информации подлежат учету. Каждый носитель информации с записанными на нем защищаемыми данными должен иметь этикетку, на которой указывается его уникальный учетный номер.
8. Учет носителей информации осуществляет администратор информационной безопасности Министерства.
9. При обработке конфиденциальной информации пользователи АИС должны использовать только специально предназначенные для этого разделы (каталоги) электронных носителей информации или съемные маркированные носители информации.
10. При хранении носителей информации должны соблюдаться условия, обеспечивающие сохранность конфиденциальной информации и исключающие несанкционированный доступ к ней.
11. Пользователь Министерства обязан:
а) при получении носителей информации убедиться, что они правильно маркированы, и расписаться в соответствующем журнале;
б) сдавать свой персональный ключевой носитель на временное хранение ответственному за обеспечение безопасности персональных данных на время длительного отсутствия на рабочем месте, в период отпуска и болезни и т.п.;
в) сдавать свой съемный носитель на временное хранение администратору информационной безопасности Министерства на время длительного отсутствия на рабочем месте, в период отпуска и болезни и т.п.;
г) в случае утери ключевого носителя немедленно сообщить об этом ответственному за обеспечение безопасности персональных данных и принять участие в служебном расследовании факта утери ключевого носителя;
д) в случае утери съемного носителя немедленно сообщить об этом администратору информационной безопасности Министерства и принять участие в служебном расследовании факта утери съемного носителя;
е) в случае перевода на другую работу, увольнения и т.п. обязан сдать (сразу по окончании последнего сеанса работы) свой носитель информации администратору информационной безопасности Министерства и/или ответственному за обеспечение безопасности персональных данных под роспись в соответствующих журналах;
ж) хранить носитель конфиденциальной информации только в личном сейфе либо в сейфе уполномоченного сотрудника.
12. Пользователям Министерства запрещается:
а) хранить носители конфиденциальной информации вместе с носителями открытой информации, на рабочих столах либо оставлять их без присмотра в незапертом помещении или передавать на хранение другим лицам;
б) выносить учтенные носители информации из служебных помещений для работы с ними на дому и т.д.;
в) передавать свой носитель информации другим лицам (кроме как для хранения уполномоченному лицу);
г) оставлять носитель информации без личного присмотра;
д) делать неучтенные копии с носителей информации.
13. При отправке или передаче конфиденциальных данных адресатам на съемные носители записываются только предназначенные адресатам данные.
14. Вынос съемных носителей, не содержащих персональных данных, для непосредственной передачи адресату осуществляется только с письменного разрешения администратора информационной безопасности Министерства на основании запроса сторонней организации.
15. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения ответственного за обеспечение безопасности персональных данных в АИС на основании запроса сторонней организации с обязательной регистрацией в Журнале регистрации запросов на предоставление персональных данных.
16. Для защиты носителей информации от несанкционированного доступа, использования или повреждения во время транспортировки из одной организации в другую необходимо использовать надежных курьеров и транспорт, а также упаковку, защищающую носители от постороннего вмешательства и позволяющую выявить попытки ее вскрытия.
17. О фактах утраты носителей конфиденциальной информации либо разглашения содержащихся на них сведений немедленно ставится в известность руководитель организации Министерства, администратор информационной безопасности Министерства и ответственный за обеспечение безопасности персональных данных. На утраченные носители составляется акт. Соответствующие отметки вносятся в Журнал учета носителей информации.
18. Съемные носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей конфиденциальной информации осуществляется уполномоченной комиссией. По результатам уничтожения носителей составляется акт по форме, установленной Приложением 1 к настоящей Инструкции.
19. При изменении полномочий сотрудника Министерства, его увольнении либо компрометации ключевого носителя уничтожается вся ключевая информация и подписывается акт об уничтожении ключевой информации с ключевых носителей, установлен Приложением 2 к настоящей Инструкции.
20. Носители, на которые осуществляется резервное копирование защищаемой информации, должны регулярно (не реже одного раза в 6 месяцев) проверяться на отсутствие сбоев уполномоченными сотрудниками Министерства.
21. При повторном использовании носителей информации предыдущее содержимое должно надежно удаляться администратором информационной безопасности Министерства.
22. Повседневный и периодический контроль за действиями сотрудников организации при работе с носителями информации возлагается на администратора информационной безопасности Министерства.
Глава 3. ТРЕБОВАНИЯ ПО РАБОТЕ С КЛЮЧЕВЫМ НОСИТЕЛЕМ
23. Для получения доступа к защищенным данным, хранящимся в памяти ключевого носителя, требуется ввести PIN-код (Personal Identification Number), являющийся аналогом пароля.
24. Пользователь Министерства должен выполнять следующие требования:
а) изменить PIN-код сразу после получения ключевого носителя (USB-ключ/смарт-карту eToken). PIN-код необходимо хранить в тайне;
б) соблюдать требования к ПИН-коду ключевого носителя, к его периодической смене.
25. При последовательном вводе более пяти неправильных PIN-кодов ключевой носитель блокируется. Для разблокировки ключевого носителя необходимо обратиться к администратору информационной безопасности Министерства.
26. В случае утраты ключевого носителя закрытый ключ восстановить невозможно. Зашифрованная с помощью утерянного закрытого ключа информация восстановлению не подлежит.
Глава 4. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
27. Пользователь Министерства, работающий с АИС, несет персональную ответственность за сохранность и правильное использование вверенного ему носителя информации.
28. За нарушение положений настоящей Инструкции к сотруднику Министерства может быть применена дисциплинарная ответственность, а также ответственность, предусмотренная действующим законодательством в области защиты информации Российской Федерации.
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК
Приложение 1
к Инструкции по работе с отчуждаемыми
носителями защищаемой информации, в том числе
с ключевыми носителями в автоматизированной
информационной системе управления
финансово-хозяйственной деятельностью
в министерстве здравоохранения
Иркутской области
АКТ
УНИЧТОЖЕНИЯ СЪЕМНЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
Комиссия в составе:
1. ______________________________________________________________
2. ______________________________________________________________
3. ______________________________________________________________
провела отбор съемных носителей персональных данных, не подлежащих дальнейшему хранению:
№ п/п
Дата
Учетный номер съемного носителя
Пояснения
1
2
...
Всего съемных носителей _______________________________________________
(цифрами и прописью)
На съемных носителях уничтожена конфиденциальная информация путем
стирания ее на устройстве гарантированного уничтожения информации
______________________________________ (механического уничтожения, сжигания
и т.п.).
Перечисленные съемные носители уничтожены путем _______________________
___________________________________________________________________________
(разрезания, демонтажа и т.п.)
Председатель комиссии _________________/Ф.И.О./
Члены комиссии _________________/Ф.И.О./
_________________/Ф.И.О./
Приложение 2
к Инструкции по работе с отчуждаемыми
носителями защищаемой информации, в том числе
с ключевыми носителями в автоматизированной
информационной системе управления
финансово-хозяйственной деятельностью
в министерстве здравоохранения
Иркутской области
АКТ № ______________
УНИЧТОЖЕНИЯ КЛЮЧЕВОЙ ИНФОРМАЦИИ С КЛЮЧЕВЫХ НОСИТЕЛЕЙ
Проведено уничтожение ключевой информации с ключевых носителей:
Порядковый номер
Регистрационный номер
Вид ключевой информации (Э/Р)
С перечисленных ключевых носителей уничтожена ключевая информация
посредством:
__________________________________________________________________________.
(программы _________________, разрезания, сжигания)
В Журнале регистрации ключевых носителей сделаны соответствующие
записи.
Пользователь _______________________________/________________/
"___" ________ 20__ г.
Администратор информационной безопасности
____________/__________ "___" ________ 20__ г.
Приложение 2
к приказу министерства
здравоохранения Иркутской области
от 6 ноября 2015 г. № 120-мпр
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ В АВТОМАТИЗИРОВАННОЙ
ИНФОРМАЦИОННОЙ СИСТЕМЕ УПРАВЛЕНИЯ ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ
ДЕЯТЕЛЬНОСТЬЮ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ
ИРКУТСКОЙ ОБЛАСТИ
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящая Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной информационной системе управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство), требования к содержанию паролей, а также контроль за действиями пользователей информационных систем при работе с идентификаторами и персональными паролями.
2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в АИС и контроль за данными действиями возлагается на администратора информационной безопасности Министерства - администратора средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.
3. Контроль за действиями пользователей в АИС при работе с паролями, соблюдением порядка их смены, хранения и за соответствие паролей требованиям настоящей Инструкции возлагается на сотрудника, ответственного за организацию обработки персональных данных в АИС.
Глава 2. ПРАВИЛА ФОРМИРОВАНИЯ ПАРОЛЕЙ
4. Персональные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями информационных систем самостоятельно с учетом следующих требований:
а) длина пароля должна быть не менее 6 символов;
б) в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры;
в) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т.д.), последовательности символов и знаков (111, qwerty, abcd и т.д.), общепринятые сокращения (ADMIN, SECRET, USER и т.п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетания букв и знаков, которые можно угадать, основываясь на информации о пользователе;
г) использование трех и более подряд идущих на клавиатуре символов, набранных в одном регистре, недопустимо;
д) при смене пароля новое значение должно отличаться от предыдущего не менее чем в 3 позициях;
е) личный пароль пользователь не имеет права сообщать никому;
ж) новый пароль не должен совпадать с одним из трех предыдущих паролей;
з) пользователь Министерства обязан сохранять в тайне свой личный пароль.
5. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на администратора информационной безопасности.
6. При технологической необходимости использования учетных данных некоторых сотрудников в их отсутствие (в случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т.п.) администратором информационной безопасности Министерства по запросу от начальников отделов министерства здравоохранения Иркутской области предоставляется одноразовый пароль на данную учетную запись. По возвращении сотрудник Министерства обязан сменить персональный пароль на все локальное программное обеспечение.
Глава 3. ВВОД ПАРОЛЯ
7. В целях обеспечения информационной безопасности и противодействия попыткам подбора пароля в АИС определены правила ввода пароля:
а) символы вводимого пароля не отображаются на экране в явном виде;
б) учет всех попыток (успешных и неудачных) входа в систему.
8. При первоначальном вводе или смене пароля пользователя действуют следующие правила:
а) символы вводимого пароля не должны явно отображаться на экране;
б) для подтверждения правильности ввода пароля (с учетом первого правила) - ввод пароля необходимо проводить 2 раза.
9. Ввод пароля должен осуществляться непосредственно пользователем АИС (владельцем пароля). Пользователю Министерства запрещается передавать пароль для ввода другим лицам. Передача пароля для ввода другим лицам является разглашением конфиденциальной информации и влечет за собой ответственность в соответствии с действующим законодательством Российской Федерации.
10. Непосредственно перед вводом пароля для предотвращения возможности неверного ввода пользователь АИС должен убедиться в правильности языка ввода (раскладки клавиатуры), проверить, не является ли активной клавиша CAPS LOCK (если это необходимо), а также проконтролировать расположение клавиатуры (клавиатура должна располагаться таким образом, чтобы исключить возможность увидеть набираемый текст посторонними).
11. При вводе пароля пользователю Министерства необходимо исключить произнесение его вслух, возможность его подсматривания посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т.п.).
Глава 4. ПОРЯДОК СМЕНЫ ЛИЧНЫХ ПАРОЛЕЙ
12. Полная плановая смена паролей проводится регулярно, не реже одного раза в квартал.
13. При смене пароля администратором информационной безопасности Министерства производится тестирование функций средств защиты информации от несанкционированного доступа путем ввода с клавиатуры заведомо ложного пароля, при наличии считывателя - предъявления стороннего идентификатора.
14. Внеплановая смена персонального пароля или удаление учетной записи пользователя АИС в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т.п.) должны производиться администратором информационной безопасности Министерства немедленно после окончания последнего сеанса работы данного пользователя с системой.
15. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и т.д.) администратора информационной безопасности Министерства, сотрудника, ответственного за организацию обработки персональных данных и других сотрудников, которым для выполнения их должностных обязанностей были предоставлены полномочия по управлению парольной защитой подсистем АИС.
16. Временный пароль, заданный системным администратором при регистрации нового пользователя, следует изменить при первом входе в систему.
17. Учетная запись пользователя Министерства, ушедшего в длительный отпуск (более 60 дней), должна блокироваться администратором информационной безопасности Министерства.
18. Удаление учетных записей пользователей, уволенных, переведенных в другое структурное подразделение, филиал, региональный центр, должно производиться администратором информационной безопасности Министерства немедленно.
Глава 5. ХРАНЕНИЕ ПАРОЛЯ
19. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации.
20. Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
Глава 6. ДЕЙСТВИЯ В СЛУЧАЕ УТЕРИ И КОМПРОМЕТАЦИИ ПАРОЛЯ
21. В случае возникновения необходимости в смене пароля ввиду компрометации пользователь должен:
а) немедленно сменить свой пароль;
б) известить администратора информационной безопасности;
в) известить сотрудника, ответственного за организацию обработки персональных данных в организации.
22. В случае компрометации (утеря, передача парольной информации) персонального пароля пользователя АИС должны быть немедленно предприняты меры в соответствии с пунктом 14 или пунктом 15 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.
Глава 7. ОТВЕТСТВЕННОСТЬ ПРИ ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ
23. Владельцы паролей должны быть ознакомлены под расписку с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение информации о пароле.
24. Ответственность за организацию парольной защиты в АИС возлагается на администратора информационной безопасности Министерства.
25. Лица, имеющие отношение к обработке персональных данных в АИС, должны быть ознакомлены с настоящей Инструкцией под расписку.
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК
Приложение 3
к приказу министерства
здравоохранения Иркутской области
от 6 ноября 2015 г. № 120-мпр
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ В АВТОМАТИЗИРОВАННОЙ
ИНФОРМАЦИОННОЙ СИСТЕМЕ УПРАВЛЕНИЯ ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ
ДЕЯТЕЛЬНОСТЬЮ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ
ИРКУТСКОЙ ОБЛАСТИ
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящая Инструкция определяет требования к организации защиты автоматизированной информационной системы управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство) от разрушающего воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников организации, эксплуатирующих и сопровождающих АИС, за выполнение требований настоящей Инструкции.
2. Для обеспечения информационной безопасности к использованию в АИС допускаются только лицензионные и сертифицированные Федеральной службой безопасности России и Федеральной службой по техническому и экспортному контролю России антивирусные средства, закупленные у официальных разработчиков (поставщиков) указанных средств.
3. Установка и настройка средств антивирусного контроля, контроль за состоянием антивирусной защиты в АИС осуществляется администратором информационной безопасности Министерства в соответствии с руководствами по применению конкретных антивирусных средств.
4. После установки и настройки средств антивирусного контроля администратором информационной безопасности Министерства в обязательном порядке должно быть произведено тестирование системы антивирусной защиты.
5. Ответственность за организацию и проведение мероприятий антивирусного контроля в соответствии с требованиями настоящей Инструкции возлагается на администратора информационной безопасности Министерства.
6. Ответственность за ежедневный антивирусный контроль в процессе эксплуатации АИС, своевременное информирование администратора информационной безопасности Министерства в случае обнаружения действий вредоносных программ возлагается на сотрудников Министерства.
Глава 2. ПРИМЕНЕНИЕ СРЕДСТВ АНТИВИРУСНОГО КОНТРОЛЯ
7. Обязательному антивирусному контролю подлежат все рабочие станции АИС, а также информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.).
8. Антивирусный контроль рабочих станций АИС должен проводиться ежедневно в автоматическом режиме при начальной загрузке рабочей станции.
9. Настройка средств антивирусной защиты должна реализовывать следующие функции:
а) непрерывный автоматический мониторинг информационного обмена с целью выявления программно-математического воздействия;
б) автоматическая проверка на наличие вредоносных программ или последствий программно-математического воздействия при импорте всех программных модулей (прикладных программ), которые могут содержать вредоносные программы, по их типовым шаблонам и с помощью эвристического анализа;
в) реализация механизма автоматического блокирования обнаруженных вредоносных программ путем их удаления из программных модулей или уничтожения;
г) автоматическая проверка критических областей автоматизированных рабочих мест и серверов, таких как системная память, загрузочные секторы дисков, объекты автозапуска, каталоги операционной системы "system" и "system32" при каждом запуске операционной системы;
д) полная автоматическая проверка носителей информации всех автоматизированных рабочих мест и серверов не реже одного раза в неделю;
е) регулярное обновление антивирусных баз и программных модулей средств антивирусной защиты. Администратору информационной безопасности Министерства должен быть организован доступ к серверам обновлений разработчика антивирусного средства. В случае невозможности настроить доступ к серверам обновлений разработчика антивирусного средства, ответственному специалисту необходимо один раз в неделю осуществлять установку пакетов обновлений вирусных баз, контроль их подключения к антивирусному пакету и проверку рабочих станций на наличие вирусов;
ж) автоматическое документирование состояния системы антивирусной защиты.
10. Антивирусный контроль входящей информации (в том числе разархивирование) должен проводиться непосредственно после получения информации на выделенном автономном компьютере. Антивирусный контроль исходящей информации должен проводиться непосредственно перед отправкой (записью на съемный носитель).
11. Пользователи АИС при работе со съемными носителями информации (flash-накопители, дискеты 3,5", CD/DVD-диски, жесткие диски USB и т.д.) обязаны перед началом работы осуществить их проверку на предмет отсутствия вредоносных программ.
12. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц.
13. Установка (изменение) системного и прикладного программного обеспечения должна осуществляться только в присутствии администратора информационной безопасности Министерства. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) системного программного обеспечения должна проводиться антивирусная проверка. В АИС запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.
14. При возникновении подозрения на наличие в системе компьютерного вируса (нетипичная работа программ, искажение данных, частое появление сообщений о системных ошибках и т.п.) сотрудником организации должен быть проведен внеочередной антивирусный контроль рабочей станции (самостоятельно или вместе с администратором информационной безопасности Министерства). Для проведения контроля должны использоваться актуальные версии антивирусных сканеров (cureit, avz и др.).
15. В случае обнаружения при проведении антивирусной проверки наличия в системе компьютерного вируса сотрудники организации обязаны:
а) немедленно поставить в известность администратора информационной безопасности Министерства, прекратить какие-либо действия на персональном компьютере, приостановить работу;
б) поставить в известность владельца зараженных файлов.
16. В случае обнаружения наличия в системе компьютерного вируса необходимо:
а) совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
б) провести локализацию вируса в системе;
в) обеспечить удаление вируса из системы;
г) в случае обнаружения нового вируса, не поддающегося лечению применяемыми антивирусными средствами, необходимо направить зараженный вирусом файл в организацию, с которой заключен договор на антивирусную поддержку;
д) по факту обнаружения вируса должна быть составлена служебная записка администратору информационной безопасности Министерства, в которой требуется указать предположительный источник (отправителя, владельца и т.д.) вируса, тип зараженного файла, характер содержащейся в файле информации, тип вируса и выполненные антивирусные мероприятия.
17. Пользователю АИС запрещается:
а) использовать съемные носители информации без предварительной проверки установленными средствами антивирусной защиты;
б) запускать неизвестные приложения, пришедшие по электронной почте.
18. Пользователь АИС обязан:
а) ежедневно при начальной загрузке персонального компьютера убедиться в наличии резидентного антивирусного монитора и в случае его отсутствия уведомить об этом администратора информационной безопасности Министерства;
б) самостоятельно запускать внеплановую антивирусную проверку персонального компьютера при получении уведомления о наличии в системе вируса, а также при возникновении подозрения на наличие вируса.
Глава 3. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
19. Ответственность за организацию антивирусного контроля в организации, в соответствии с требованиями настоящей Инструкции возлагается на администратора информационной безопасности Министерства.
20. Ответственность за проведение мероприятий антивирусного контроля в подразделении и соблюдение требований настоящей Инструкции возлагается на администратора информационной безопасности Министерства и всех сотрудников, являющихся пользователями АИС.
21. Периодический контроль за состоянием антивирусной защиты в АИС, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящей Инструкции пользователем АИС осуществляется администратором информационной безопасности Министерства.
22. Ответственность за поддержание установленного в настоящей Инструкции порядка проведения антивирусного контроля возлагается на администратора информационной безопасности Министерства.
23. Пользователи АИС, нарушившие требования настоящего документа, привлекаются к ответственности в соответствии с действующим законодательством Российской Федерации.
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК
Приложение 4
к приказу министерства
здравоохранения Иркутской области
от 6 ноября 2015 г. № 120-мпр
ИНСТРУКЦИЯ
О ПОРЯДКЕ РАБОТЫ ПРИ ПОДКЛЮЧЕНИИ К СЕТЯМ ОБЩЕГО ПОЛЬЗОВАНИЯ
И МЕЖДУНАРОДНОГО ОБМЕНА В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ
СИСТЕМЕ УПРАВЛЕНИЯ ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТЬЮ
В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ ИРКУТСКОЙ ОБЛАСТИ
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящая Инструкция предназначена для пользователей автоматизированной информационной системы управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство), выполнение должностных обязанностей которых связано с использованием персональных компьютеров (пользователей), и определяет их полномочия, обязанности и ответственность при использовании информационных ресурсов информационно-вычислительных сетей общего пользования (далее - ИВС ОП), в том числе сети Интернет, а также основные требования по обеспечению безопасности информации.
2. Основными угрозами безопасности информации при использовании сети международного обмена в АИС являются:
а) заражение элементов АИС программными вирусами;
б) несанкционированный доступ внешних пользователей к АИС (в т.ч. сетевые атаки);
в) внедрение в автоматизированные АИС программных закладок;
г) загрузка трафика нежелательной корреспонденцией (спамом);
д) несанкционированная передача служебной информации ограниченного доступа пользователями АИС в сеть Интернет (внутренний нарушитель);
е) блокировка межсетевого взаимодействия путем нарушения целостности данных о настройках коммуникационного оборудования.
3. Основными методами обеспечения безопасности информации при использовании сети международного обмена для предотвращения указанных угроз являются:
а) межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов;
б) использование сертифицированных средств защиты информации, в том числе антивирусных и криптографических;
в) мониторинг вторжений (атак) из ИВС ОП, нарушающих или создающих предпосылки к нарушению установленных требований по защите информации, и анализ защищенности, предполагающий применение специализированных программных средств (сканеров безопасности);
г) контроль информации, загружаемой или передаваемой в ИВС ОП;
д) запрет обращения к нежелательным ресурсам ИВС ОП;
е) шифрование информации при обмене с другими организациями при ее передаче по сети международного обмена, а также использование электронно-цифровой подписи для контроля целостности и подтверждения подлинности отправителя и/или получателя информации.
Глава 2. ДОСТУП К ИНТЕРНЕТ-РЕСУРСАМ
4. Администратор информационной безопасности Министерства обеспечивает доступ пользователей сети к ресурсам сети международного обмена.
5. Открытие и контроль доступа регулируется администратором информационной безопасности Министерства.
6. Доступ к ресурсам сети международного обмена предоставляется пользователям АИС только для выполнения ими прямых должностных обязанностей.
7. Самостоятельная организация дополнительных точек доступа к сети международного обмена (удаленный доступ, канал по локальной сети, GPRS и пр.) запрещена.
Глава 3. ОСНОВНЫЕ ОГРАНИЧЕНИЯ ПРИ РАБОТЕ В СЕТИ ИНТЕРНЕТ
8. Пользователям АИС запрещается:
а) загружать, самостоятельно устанавливать прикладное, операционное, сетевое и другие виды программного обеспечения, а также осуществлять обновления, если эта работа не входит в его должностные обязанности;
б) запрещается нецелевое использование подключения к сети международного доступа;
в) осуществлять работу при отключенных средствах защиты информации, установленных на рабочей станции;
г) допускать к работе посторонних лиц;
д) передавать по сети международного доступа защищаемую информацию без использования средств шифрования;
е) совершать любые попытки деструктивных действий по отношению к нормальной работе АИС (рассылка вирусов, сетевые атаки и т.п.);
ж) применять имена пользователей и пароли, используемые в АИС в других информационных системах и ресурсах;
з) посещать игровые, социальные, развлекательные, ***
и) посещать сайты сомнительной репутации (сайты, содержащие нелегально распространяемое ПО, и другие);
к) посещение ресурсов трансляции потокового видео и аудио (веб-камеры, трансляция ТВ- и музыкальных программ в Интернете);
л) игры на компьютере автономно и в сети;
м) производить какие-либо действия с информацией, зараженной вирусом;
н) подключаться к ресурсам сети международного доступа через альтернативные каналы - сотовый телефон, модем и др. устройства;
о) создание личных веб-страниц и хостинг (размещение web- или ftp-сервера) на компьютере пользователя;
п) нарушение закона об авторском праве: копирование и использование материалов и программ, защищенных законом об авторском праве;
р) совершать действия, противоречащие законодательству, а также настоящей Инструкции.
9. Пользователь Министерства обязан:
а) знать и уметь пользоваться антивирусным программным обеспечением. При обнаружении вируса он должен сообщить об этом администратору информационной безопасности Министерства;
б) информировать администратора информационной безопасности Министерства о любых нарушениях, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе сети;
в) знать и соблюдать установленные правила работы в локальной сети (Приложение 1 к настоящей Инструкции);
г) знать и соблюдать установленные правила работы с электронной почтой (Приложение 2 к настоящей Инструкции);
д) знать и соблюдать установленные правила работы в сети Интернет (Приложение 3 к настоящей Инструкции).
10. Пользователи Министерства несут персональную ответственность за содержание передаваемой, принимаемой и печатаемой информации.
11. Администратор информационной безопасности Министерства обязан:
а) производить подключение к сети международного доступа только через межсетевой экран соответствующего класса для обеспечения защиты информационной сети;
б) знать и правильно использовать аппаратно-программные средства защиты информации и обеспечивать сохранность информационных ресурсов с помощью этих средств;
в) оказывать методическую и консультационную помощь пользователям по вопросам, входящим в его компетенцию;
г) принимать меры для предотвращения и устранения нарушений требований настоящей Инструкции пользователями и других негативных ситуаций, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе сети.
12. Администратор информационной безопасности Министерства имеет право:
а) при обнаружении доступа к развлекательным сайтам запретить доступ к сайту;
б) при обнаружении использования пользователем программных продуктов, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе сети, запретить доступ к сети международного доступа.
Глава 4. КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ РЕСУРСОВ СЕТИ ИНТЕРНЕТ
13. В целях обеспечения информационной безопасности в АИС администратор информационной безопасности Министерства осуществляет:
а) контроль за соблюдением настоящей Инструкции;
б) организацию и контроль за безопасным использованием ресурсов сети международного доступа.
Глава 5. ДЕЙСТВИЯ В НЕШТАТНЫХ СИТУАЦИЯХ
14. При утрате (в том числе частично) подключения к сети международного доступа лицо, обнаружившее неисправность, сообщает об этом ответственному сотруднику за организацию подключения к сети Интернет.
15. При заражении компьютера вирусами его использование немедленно прекращается сотрудником, обнаружившим заражение. О сложившейся ситуации сообщается администратору информационной безопасности Министерства. Компьютер отключается от сети до момента очистки от всех вирусов.
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК
Приложение 1
к Инструкции о порядке работы при подключении
к сетям общего пользования и (или) международного
обмена в автоматизированной информационной системе
управления финансово-хозяйственной деятельностью
в министерстве здравоохранения Иркутской области
ПРАВИЛА
ПО РАБОТЕ В ЛОКАЛЬНОЙ СЕТИ
1. Пользователи сети министерства здравоохранения Иркутской области (далее - Министерство) обязаны:
а) при доступе к внешним ресурсам сети соблюдать правила, установленные администратором информационной безопасности Министерства для используемых ресурсов;
б) немедленно сообщать администратору информационной безопасности Министерства об обнаруженных проблемах в использовании предоставленных ресурсов. Администратор информационной безопасности Министерства, при необходимости, с помощью других специалистов должны провести расследование указанных фактов и принять соответствующие меры;
в) не разглашать известную им конфиденциальную информацию (имена пользователей, пароли), необходимую для безопасной работы в сети;
г) обеспечивать беспрепятственный доступ администратора информационной безопасности Министерства к сетевому оборудованию и компьютерам пользователей для организации профилактических и ремонтных работ;
д) выполнять предписания администратора информационной безопасности Министерства, направленные на обеспечение безопасности сети;
е) в случае обнаружения неисправности (например, сильный посторонний шум или запах, необычное поведение, затрудняющее работу) компьютерного оборудования или программного обеспечения, пользователь должен немедленно обратиться к администратору информационной безопасности Министерства;
ж) удалять с сетевых ресурсов устаревшие или неиспользуемые файлы, владельцем или создателем которых он является.
2. Пользователи сети имеют право:
а) использовать в работе предоставленные им сетевые ресурсы в оговоренных в настоящей Инструкции рамках. Администратор информационной безопасности Министерства вправе ограничивать доступ к некоторым сетевым ресурсам вплоть до их полной блокировки, изменять распределение трафика и проводить другие меры, направленные на повышение эффективности использования сетевых ресурсов;
б) обращаться к администратору информационной безопасности Министерства по вопросам, связанным с распределением ресурсов компьютера. Какие-либо действия пользователя, ведущие к изменению объема используемых им ресурсов или влияющие на загруженность или безопасность системы, должны санкционироваться администратором информационной безопасности Министерства;
в) обращаться за помощью к администратору информационной безопасности Министерства при решении задач использования ресурсов сети;
г) вносить предложения по улучшению работы с ресурсом.
3. Пользователям сети запрещено:
а) разрешать посторонним лицам пользоваться вверенным им компьютером;
б) использовать сетевые программы, не предназначенные для выполнения прямых служебных обязанностей, без согласования с администратором информационной безопасности Министерства;
в) самостоятельно устанавливать или удалять установленные администратором информационной безопасности Министерства сетевые программы на компьютерах, подключенных к сети, изменять настройки операционной системы и приложений, влияющие на работу сетевого оборудования и сетевых ресурсов;
г) повреждать, уничтожать или фальсифицировать информацию, не принадлежащую пользователю;
д) вскрывать компьютеры, сетевое и периферийное оборудование; подключать к компьютеру дополнительное оборудование без согласования с администратором информационной безопасности Министерства, изменять настройки BIOS, а также производить загрузку рабочих станций с дискет;
е) самовольно подключать компьютер к сети, а также изменять IP-адрес компьютера, выданный администратором информационной безопасности Министерства. Передача данных в сеть с использованием других IP-адресов в качестве адреса отправителя является распространением ложной информации и создает угрозу безопасности информации на других компьютерах;
ж) работать с каналоемкими ресурсами (видео, аудио, радио, чаты, файлообменные сети, torrent и др.) без согласования с администратором информационной безопасности Министерства. При сильной перегрузке канала вследствие использования каналоемких ресурсов доступ пользователя, вызвавшего перегрузку, может быть прекращен;
з) получать и передавать в сеть информацию, противоречащую действующему законодательству Российской Федерации и нормам морали общества, представляющую коммерческую или государственную тайну;
и) обхождение учетной системы безопасности, системы статистики, ее повреждение или дезинформация;
к) использовать иные формы доступа к сети, за исключением разрешенных администратором информационной безопасности Министерства;
л) осуществлять попытки несанкционированного доступа к ресурсам сети, проводить или участвовать в сетевых атаках и сетевом взломе;
м) использовать сеть для массового распространения рекламы (спам), коммерческих объявлений, порнографической информации, призывов к насилию, разжиганию национальной или религиозной вражды, оскорблений, угроз и т.п.
Приложение 2
к Инструкции о порядке работы при подключении
к сетям общего пользования и (или) международного
обмена в автоматизированной информационной системе
управления финансово-хозяйственной деятельностью
в министерстве здравоохранения Иркутской области
ПРАВИЛА
РАБОТЫ С ЭЛЕКТРОННОЙ ПОЧТОЙ
1. Электронная почта предоставляется сотрудникам министерства здравоохранения Иркутской области (далее - Министерство) только для выполнения своих служебных обязанностей. Использование ее для пересылки файлов в личных целях запрещено. Создание или изменение параметров почтового ящика проводится администратором информационной безопасности Министерства на основании служебной записки.
2. В качестве клиентов электронной почты могут использоваться только утвержденные почтовые программы.
3. Нельзя осуществлять массовую рассылку не согласованных предварительно электронных писем. Под массовой рассылкой подразумевается как рассылка множеству получателей, так и множественная рассылка одному получателю (спам).
4. При работе с электронной почтой пользователям АИС запрещается:
а) использовать адрес электронной почты для оформления подписок;
б) публиковать свой электронный адрес либо адреса других сотрудников организации на общедоступных Интернет-ресурсах (форумы, конференции и т.п.), за исключением случаев служебной необходимости;
в) рассылать через электронную почту материалы, содержащие вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в Интернете, а также ссылки на вышеуказанную информацию;
г) распространять защищаемые авторскими правами материалы, затрагивающие какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ними права третьей стороны;
д) распространять информацию, содержание и направленность которой запрещены международным и российским законодательством, включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия и т.д.;
е) распространять информацию ограниченного доступа, предназначенную для служебного использования;
ж) предоставлять кому бы то ни было пароль доступа к своему почтовому ящику.
Приложение 3
к Инструкции о порядке работы при подключении
к сетям общего пользования и (или) международного
обмена в автоматизированной информационной системе
управления финансово-хозяйственной деятельностью
в министерстве здравоохранения Иркутской области
ПРАВИЛА
ПО РАБОТЕ В СЕТИ ИНТЕРНЕТ
1. Пользователи министерства здравоохранения Иркутской области (далее - Министерство) используют программы для поиска информации в сети Интернет только в случае, если это необходимо для выполнения своих должностных обязанностей.
2. Действия любого пользователя, подозреваемого в нарушении правил пользования Интернетом, протоколируются и могут использоваться для принятия решения о применении к нему санкций.
3. Все программы, используемые для доступа к сети Интернет, должны быть утверждены администратором информационной безопасности Министерства и на них должны быть настроены необходимые уровни безопасности.
4. Запрещено получать и передавать через сеть информацию, противоречащую законодательству и нормам морали общества, представляющую коммерческую тайну, распространять информацию, задевающую честь и достоинство граждан, а также рассылать обманные, беспокоящие или угрожающие сообщения.
5. Запрещено обращаться к ресурсам сети Интернет, не связанным непосредственно с выполнением своих должностных обязанностей, в рабочее время, а также к ресурсам с сомнительным содержанием.
6. Запрещается скачивать и запускать с любых ресурсов любые неизвестные исполняемые файлы без согласования с администратором информационной безопасности Министерства.
7. Запрещено использовать иные формы доступа к сети Интернет, за исключением разрешенных администратором информационной безопасности Министерства.
8. Ответственность за все действия в сети Интернет, произведенные с рабочей станции, под именем и с паролем пользователя, им самим или другими физическими или юридическими лицами и организациями, полностью лежит на самом пользователе.
Приложение 5
к приказу министерства
здравоохранения Иркутской области
от 6 ноября 2015 г. № 120-мпр
ИНСТРУКЦИЯ
ПО ДЕЙСТВИЯМ ПЕРСОНАЛА ВО ВНЕШТАТНЫХ СИТУАЦИЯХ ПРИ ОБРАБОТКЕ
ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ
СИСТЕМЕ УПРАВЛЕНИЯ ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТЬЮ
В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ ИРКУТСКОЙ ОБЛАСТИ
Глава 1. НАЗНАЧЕНИЕ И ОБЛАСТЬ ДЕЙСТВИЯ
1. Настоящая Инструкция определяет возможные аварийные ситуации, связанные с функционированием автоматизированной информационной системы управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство), меры и средства поддержания непрерывности работы и восстановления работоспособности АИС после аварийных ситуаций.
2. Целью настоящей Инструкции является превентивная защита элементов АИС от прерывания в случае реализации рассматриваемых угроз.
3. Задачей настоящей Инструкции является:
а) определение мер защиты от прерывания;
б) определение действий восстановления в случае прерывания.
4. Действие настоящей Инструкции распространяется на всех сотрудников, имеющих доступ к ресурсам АИС, а также к основным системам обеспечения непрерывности работы и восстановления ресурсов при возникновении аварийных ситуаций, в том числе:
а) система жизнеобеспечения;
б) система обеспечения отказоустойчивости;
в) система резервного копирования и хранения данных;
г) система контроля физического доступа.
5. Пересмотр настоящего документа осуществляется по мере необходимости, но не реже одного раза в два года.
Глава 2. ПОРЯДОК РЕАГИРОВАНИЯ НА АВАРИЙНУЮ СИТУАЦИЮ
6. В настоящем документе под аварийной ситуацией (инцидентом) понимается некоторое происшествие, связанное со сбоем в функционировании элементов АИС, предоставляемых пользователям информационной системы Министерства. Аварийная ситуация становится возможной в результате реализации одной из угроз, приведенных в пункте 4 настоящей Инструкции.
7. Все действия в процессе реагирования на аварийные ситуации должны документироваться ответственным за реагирование сотрудником в журнале учета мероприятий по контролю обработки и защиты в АИС.
8. Инцидент может возникнуть в результате преднамеренных действий злоумышленника или непреднамеренных действий пользователей Министерства, аварий, стихийных бедствий.
9. В кратчайшие сроки, не превышающие одного рабочего дня, ответственные за реагирование сотрудники АИС (системный администратор Министерства, администратор информационной безопасности Министерства, ответственный за обеспечение безопасности информации, ответственный за организацию обработки информации) предпринимают меры по восстановлению работоспособности. Предпринимаемые меры по возможности согласуются с вышестоящим руководством. По необходимости иерархия может быть нарушена с целью получения высококвалифицированной консультации в кратчайшие сроки.
10. Уровни реагирования на инцидент. При реагировании на инцидент важно, чтобы пользователь Министерства правильно классифицировал критичность инцидента. Критичность оценивается на основе следующей классификации:
а) уровень 1 - незначительный инцидент. Незначительный инцидент определяется как локальное событие с ограниченным разрушением, которое не влияет на общую доступность элементов АИС и средств защиты. Эти инциденты решаются ответственными за реагирование сотрудниками;
б) уровень 2 - авария. Любой инцидент, который приводит или может привести к прерыванию работоспособности отдельных элементов АИС и средств защиты. Эти инциденты выходят за рамки АИС ответственными за реагирование сотрудниками.
К авариям относятся следующие инциденты:
отказ элементов АИС и средств защиты из-за: повреждения водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения), а также подтопления в период паводка или проливных дождей; сбоя системы кондиционирования; отсутствия администратора информационной безопасности Министерства более чем на сутки (из-за сбоев общественного транспорта, эпидемии, массового отравления персонала, сильного снегопада, сильных морозов);
в) уровень 3 - катастрофа. Любой инцидент, приводящий к полному прерыванию работоспособности всех элементов АИС и средств защиты, а также к угрозе жизни пользователей АИС, классифицируется как катастрофа. Обычно к катастрофам относят обстоятельства непреодолимой силы (пожар, взрыв), которые могут привести к неработоспособности АИС и средств защиты на сутки и более.
К катастрофам относятся следующие инциденты:
а) пожар в здании;
б) взрыв;
в) просадка грунта с частичным обрушением здания;
г) массовые беспорядки в непосредственной близости от Объекта.
Глава 3. МЕРЫ ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОСТИ РАБОТЫ И
ВОССТАНОВЛЕНИЯ РЕСУРСОВ ПРИ ВОЗНИКНОВЕНИИ АВАРИЙНЫХ СИТУАЦИЙ
11. К техническим мерам обеспечения непрерывной работы и восстановления относятся программные, аппаратные и технические средства и системы, используемые для предотвращения возникновения аварийных ситуаций, такие как:
а) системы жизнеобеспечения, что включает: пожарные сигнализации и системы пожаротушения; системы вентиляции и кондиционирования; системы резервного питания;
б) системы обеспечения отказоустойчивости;
в) системы резервного копирования и хранения данных;
г) системы контроля физического доступа;
д) пожарные сигнализации и системы пожаротушения;
е) системы вентиляции и кондиционирования.
12. Все критичные помещения, где установлены элементы АИС, должны быть оборудованы средствами пожарной сигнализации и пожаротушения.
13. Порядок предотвращения потерь информации и организации системы жизнеобеспечения информационных систем описан в Порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.
14. Ответственные за реагирование сотрудники ознакомляют всех сотрудников организации, находящихся в их зоне ответственности, с настоящей Инструкцией в срок, не превышающий 3 рабочих дней с момента выхода нового сотрудника на работу.
15. Должно быть проведено обучение должностных лиц организации, имеющих доступ к ресурсам АИС, порядку действий при возникновении аварийных ситуаций. Должностные лица должны получить базовые знания в следующих областях:
а) оказание первой медицинской помощи;
б) пожаротушение;
в) эвакуация людей;
г) защита материальных и информационных ресурсов;
д) методы оперативной связи со службами спасения и лицами, ответственными за реагирование сотрудниками на аварийную ситуацию;
е) выключение оборудования, электричества, водоснабжения.
16. Администратор информационной безопасности Министерства должен быть дополнительно обучен методам частичного и полного восстановления работоспособности элементов АИС.
17. Навыки и знания должностных лиц по реагированию на аварийные ситуации должны регулярно проверяться. При необходимости должно проводиться дополнительное обучение должностных лиц порядку действий при возникновении аварийной ситуации.
18. Ответственность за организацию обучения должностных лиц несет руководитель отдела. Сроки и порядок их обучения согласуется с администратором информационной безопасности Министерства.
Глава 4. ВИДЫ ИСТОЧНИКОВ УГРОЗ
19. К видам источников угроз относятся:
а) технологические угрозы: пожар в здании; повреждение водой (прорыв системы водоснабжения, канализационных труб, систем охлаждения); взрыв (бытовой газ, теракт, взрывчатые вещества или приборы, работающие под давлением); химический выброс в атмосферу;
б) внешние угрозы: массовые беспорядки; сбои общественного транспорта; эпидемия; массовое отравление персонала;
в) стихийные бедствия: удар молнии; сильный снегопад; сильные морозы; просадка грунта (подмыв грунтовых вод, подземные работы) с частичным обрушением здания; затопление водой в период паводка; наводнение, вызванное проливным дождем; подтопление здания (воздействие подпочвенных вод, вызванное внезапным и непредвиденным повышением уровня грунтовых вод);
г) телеком и угрозы: сбой системы кондиционирования; сбой информационных систем;
д) угрозы, связанные с человеческим фактором: ошибки персонала, имеющего доступ к помещению, где расположено серверное оборудование; нарушение конфиденциальности, целостности и доступности конфиденциальной информации;
е) угрозы, связанные с внешними поставщиками: отключение электроэнергии; сбой в работе интернет-провайдеров; физический разрыв внешних каналов связи.
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК
Приложение 6
к приказу министерства
здравоохранения Иркутской области
от 6 ноября 2015 г. № 120-мпр
ИНСТРУКЦИЯ
ПО ПРИЕМУ ПОД ОХРАНУ КАБИНЕТОВ, В КОТОРЫХ ВЕДЕТСЯ
РАБОТА С АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМОЙ
УПРАВЛЕНИЯ ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТЬЮ
В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ ИРКУТСКОЙ ОБЛАСТИ
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящая Инструкция определяет порядок приема под охрану кабинетов, где ведется работа с автоматизированной информационной системой управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство), дежурным предоставляется ОГКУ "Фонд имущества Иркутской области".
2. В роли дежурного выступает охранная организация на основании заключенного договора с ОГКУ "Фонд имущества Иркутской области" об оказании соответствующих услуг.
3. Сдачу режимных помещений (спец. помещений) и ключей от них под охрану, а также получение ключей и вскрытие помещений производят сотрудники организации по утвержденным руководителем организации или руководителями территориальных отделов спискам. Утвержденные списки с образцами подписей сотрудников передаются дежурному.
Глава 2. ПОРЯДОК СДАЧИ КАБИНЕТОВ, ГДЕ ВЕДЕТСЯ РАБОТА С АИС
4. По окончании рабочего дня сотрудники организации:
а) выключают свет;
б) отключают все электронные приборы и внешнее освещение;
в) закрывают окна и двери кабинетов, опечатывают входную дверь помещения при наличии контроля за санкционированным доступом в помещение;
г) ключи от входной двери сдают под расписку в Журнале приема (сдачи) под охрану кабинетов дежурному.
5. Дежурный, убедившись в надежности закрытия входной двери кабинетов, в целостности слепка печати (при наличии), которой опечатана дверь, соответствии оттиска печати образцу печати в списке, утвержденном руководителем организации, принимает помещение и ключи под охрану.
6. О приеме под охрану дежурный расписывается в журнале приема (сдачи) под охрану кабинетов с отметками о времени сдачи помещения под охрану и номера печати, которой опечатаны помещения.
7. При обнаружении нарушения целостности оттисков печатей, повреждения запоров или других признаков, указывающих на возможное проникновение в помещение посторонних лиц, дежурный ставит в известность о случившемся руководителя организации, организует охрану места происшествия до его прибытия.
Глава 3. ПОРЯДОК ВСКРЫТИЯ КАБИНЕТОВ,
ГДЕ ВЕДЕТСЯ РАБОТА С АИС
8. Перед вскрытием кабинетов работник:
а) проверяет целостность оттиска печати на входной двери и исправность запоров;
б) получает у дежурного ключи под подпись в Журнале приема (сдачи) под охрану кабинетов с отметками о дате и времени получения ключей и вскрытия помещения с указанием фамилии вскрывшего;
в) вскрывает помещение.
9. При обнаружении нарушения целостности оттисков печатей, повреждения запоров или других признаков, указывающих на возможное проникновение в помещение посторонних лиц, работник ставит в известность о случившемся руководителя организации или руководителя территориального отдела и дежурного, организует охрану места происшествия до их прибытия.
10. Вскрытие помещения производится по акту в присутствии руководителя организации, сотрудника, обнаружившего нарушение, и дежурного.
Глава 4. ДЕЙСТВИЯ В СЛУЧАЕ ОБНАРУЖЕНИЯ ПОЖАРА
В КАБИНЕТАХ, ГДЕ ВЕДЕТСЯ РАБОТА С АИС
11. При обнаружении дыма или иных признаков возгорания в кабинетах, где ведется работа с АИС, дежурный действует согласно Инструкции на случай возникновения пожара и ставит в известность о случившемся руководителя организации.
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК
Приложение 7
к приказу министерства
здравоохранения Иркутской области
от 6 ноября 2015 г. № 120-мпр
ИНСТРУКЦИЯ
РЕЗЕРВИРОВАНИЯ И ВОССТАНОВЛЕНИЯ РАБОТОСПОСОБНОСТИ
ТЕХНИЧЕСКИХ СРЕДСТВ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, БАЗ
ДАННЫХ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННОЙ
ИНФОРМАЦИОННОЙ СИСТЕМЕ УПРАВЛЕНИЯ ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ
ДЕЯТЕЛЬНОСТЬЮ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ
ИРКУТСКОЙ ОБЛАСТИ
Глава 1. ОБЩЕЕ ПОЛОЖЕНИЕ
1. Настоящая Инструкция резервирования и восстановления работоспособности технических средств (далее - ТС) и программного обеспечения (далее - ПО), баз данных и средств защиты информации (далее - СЗИ) разработана с целью обеспечения возможности незамедлительного восстановления защищаемых данных, модифицированных или уничтоженных вследствие несанкционированного доступа (далее - НСД) к ним.
2. Данный документ определяет:
а) правила и объемы резервирования, а также порядок восстановления работоспособности в автоматизированной информационной системе управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство);
б) предназначен для исполнения сотрудником, в обязанности которого входит техническое обслуживание АИС (далее - администратор), а также пользователями АИС, участвующими в обработке персональных данных (далее - ПДн) в АИС (далее - пользователи);
в) описывает действия администратора Министерства и пользователей Министерства по обеспечению резервного копирования и восстановления ПДн, обрабатываемых в АИС.
3. Носители информации, используемые для резервирования защищаемой информации в АИС (в том числе и ПДн), подлежат защите в той же степени, что и резервируемая информация.
4. Контроль за исполнением настоящей Инструкции осуществляет администратор информационной безопасности Министерства и сотрудник, ответственный за обеспечение безопасности ПДн в АИС.
Глава 2. НАЗНАЧЕНИЕ И ОБЛАСТЬ ДЕЙСТВИЯ
5. Резервируемой информацией следует считать любые защищаемые данные в электронном виде. Резервируемая информация разделяется по способу обработки (по способу хранения) на две категории:
а) обработка (хранение) в базе данных;
б) любом другом виде.
6. Резервному копированию подлежат все информационные ресурсы АИС, содержащие защищаемую информацию, а именно:
а) файлы баз данных;
б) электронные документы.
7. Резервному копированию могут также подвергаться:
а) системное и прикладное программное обеспечение АИС;
б) средства защиты информации.
Глава 3. ПОРЯДОК РЕЗЕРВИРОВАНИЯ
8. Резервное копирование и хранение данных должно осуществляться на периодической основе:
а) для обрабатываемых защищаемых данных - не реже одного раза в месяц;
б) для технологической информации - не реже раза в два месяца;
в) эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы АИС, - не реже раза в квартал и каждый раз при внесении изменений в эталонные копии (выход новых версий).
9. Резервирование защищаемых информационных ресурсов АИС, не содержащих ПДн, выполняется администратором информационной безопасности Министерства.
10. Резервирование информационных ресурсов АИС, содержащих ПДн, выполняется ответственным за обеспечение безопасности ПДн в АИС.
11. Определяется 2 вида резервирования данных:
а) полное резервирование данных - резервное копирование всех ПДн, хранящихся в АИС;
б) неполное резервирование данных - резервное копирование части ПДн, хранящихся в АИС.
12. Целью неполного резервирования является сохранение изменений в АИС с момента полного резервирования ПДн.
13. Резервирование ЗД осуществляется в автоматическом режиме на локальном дисковом массиве сервера.
14. Резервное копирование баз данных выполняется:
а) ежедневно в конце рабочего дня ответственным специалистом на учтенный съемный носитель информации;
б) ежедневно в конце рабочего дня в автоматическом режиме на локальный диск сервера.
15. Восстановление файлов АИС производится путем разархивирования файлов базы данных в исходный каталог.
16. Необходимо регулярно периодичностью один раз в квартал создавать резервные копии путем копирования информации на КОД или любой другой зарегистрированный отчуждаемый носитель информации.
17. Периодичность проведения работ по резервированию данных определяется ответственным за обеспечение безопасности ПДн совместно с администратором информационной безопасности Министерства с учетом специфики работы АИС, но не менее 1 раза в квартал для полного резервирования и 1 раза в месяц для неполного резервирования.
18. В случаях, когда защищаемые ресурсы хранятся на компьютерах пользователей Министерства локально, допустимо перекладывать ответственность за проведение неполного резервирования данных на пользователей АИС.
19. События резервирования ПДн фиксируются в Журнале резервирования информационных ресурсов АИС. В журнале указывается: дата, вид резервирования, наименование резервируемого информационного ресурса, количество и общий размер файлов, серийный номер носителя информации, ответственное лицо.
20. Администратор АИС использует средства резервного копирования ИС для резервирования данных на отчуждаемый носитель. В случаях, когда резервирование данных средствами ИС не представляется возможным, администратор ИС по согласованию с ответственным за обеспечение безопасности ПДн организации и администратором информационной безопасности Министерства может использовать средство резервного копирования, не входящее в состав АИС.
21. Резервное копирование с использованием незащищенных каналов связи общего пользования недопустимо.
22. Администратор не имеет права ознакамливаться с резервируемыми ПДн. Факт ознакомления администратора с резервируемыми ПДн может быть расценен как превышение служебных полномочий в соответствии с Трудовым кодексом Российской Федерации и Кодексом об административных правонарушениях Российской Федерации.
23. Носители, на которые произведено резервное копирование, должны быть пронумерованы: номером носителя, датой проведения резервного копирования.
24. Носители должны храниться не менее года для возможности восстановления данных.
25. В случае удаления ПДн субъекта из АИС должна быть также удалена резервная копия этих данных.
Глава 4. ПОРЯДОК ХРАНЕНИЯ РЕЗЕРВНЫХ КОПИЙ
26. Хранение резервных копий ПДн должно исключать любой несанкционированный доступ посторонних лиц к носителям информации.
27. Хранение носителей резервных копий защищаемой информации должно быть организовано в сейфе или несгораемом металлическом шкафу с устройством опечатывания у администратора информационной безопасности Министерства и/или у сотрудника, ответственного за обеспечение безопасности ПДн.
28. Доступ к местам хранения резервных копий должен быть предоставлен только администратору информационной безопасности Министерства и ответственному за обеспечение безопасности ПДн.
29. На носителе информации, содержащем резервные копии ПДн, не должна храниться посторонняя информация.
Глава 5. ПОРЯДОК ВОССТАНОВЛЕНИЯ ИНФОРМАЦИИ ПОСЛЕ СБОЯ
30. При искажении, модификации, блокировании, удалении ПДн необходимо руководствоваться следующим порядком восстановления:
а) в случае возникновения инцидента информационной безопасности, связанного с ПДн, следует незамедлительно сообщить об этом администратору;
б) ответственным за восстановление ПДн из резервных копий является администратор, начальник подразделения, в котором произошел инцидент, и/или администратор информационной безопасности Министерства;
в) администратор обязан срочно уведомить администратора информационной безопасности Министерства и ответственного за обеспечение безопасности ПДн в организации о факте сбоя в работе АИС, повлекшего нарушение целостности ПДн;
г) администратор должен оценить причину возникновения неисправности и принять меры по устранению технических неисправностей при неполадках программного или аппаратного обеспечения компьютера или воспользоваться резервной копией при проблемах, связанных непосредственно с ПДн;
д) факты восстановления ПДн должны фиксироваться в Журнале резервирования информационных ресурсов АИС (в графе "вид резервирования" указывается "полное восстановление" либо "частичное восстановление").
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК
Приложение 8
к приказу министерства
здравоохранения Иркутской области
от 6 ноября 2015 г. № 120-мпр
ИНСТРУКЦИЯ
ПО ОБРАЩЕНИЮ С СЕРТИФИЦИРОВАННЫМИ СРЕДСТВАМИ
КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННОЙ
ИНФОРМАЦИОННОЙ СИСТЕМЕ УПРАВЛЕНИЯ ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ
ДЕЯТЕЛЬНОСТЬЮ В МИНИСТЕРСТВЕ ЗДРАВООХРАНЕНИЯ
ИРКУТСКОЙ ОБЛАСТИ
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящая Инструкция содержит описание порядка обращения с сертифицированными средствами криптографической защиты информации (далее - СКЗИ) Федеральной службы безопасности России (далее - ФСБ), рекомендации по размещению и хранению технических средств, на которые установлены СКЗИ, по проверке целостности установленного программного обеспечения (далее - ПО) СКЗИ, по использованию СКЗИ в различных информационных системах.
2. СКЗИ эксплуатируются в соответствии с правилами пользования ими, указанными в эксплуатационно-технической документации. Изменения условий эксплуатации СКЗИ, указанных в правилах пользования ими, допускаются исключительно по согласованию с ФСБ России.
3. Настоящая Инструкция разработана в соответствии с документами:
а) Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное Приказом ФСБ России № 66 от 9 февраля 2005 года;
б) Приказ Федерального агентства правительственной связи и информации при Президенте Российской Федерации № 152 от 13 июня 2001 года "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";
в) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622.
Глава 2. ТЕРМИНЫ И СОКРАЩЕНИЯ
Лицензиат
Организация, обладающая лицензиями ФСБ России на ***
НСД
Несанкционированный доступ
ОС
Операционная система
ПО
Программное обеспечение
ПЭВМ
Персональная электронная вычислительная машина
СКЗИ
Средство криптографической защиты информации
ТС
Технические средства
ФСБ
Федеральная служба безопасности России
ЭТД
Эксплуатационная и техническая документация
Глава 3. ОТВЕТСТВЕННЫЕ ЛИЦА
4. В автоматизированной информационной системе управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство), эксплуатирующей сертифицированные СКЗИ, назначены и закреплены распоряжением следующие лица.
5. Ответственный за обеспечение безопасности информации (далее - Администратор СКЗИ), на которого возлагаются задачи организации работ по:
а) обеспечению корректного и безопасного функционирования СКЗИ;
б) обеспечению корректной и безопасной эксплуатации СКЗИ;
в) выработке соответствующих инструкций и ознакомлению с ними пользователей СКЗИ;
г) контролю работоспособности и соблюдению правил эксплуатации СКЗИ.
6. Пользователи СКЗИ Министерства, на которых возлагаются задачи по:
а) соблюдению правил корректной и безопасной эксплуатации СКЗИ;
б) обеспечению режима сохранности СКЗИ, ЭТД и ключевых документов, переданных им.
7. Администратор СКЗИ и Пользователи СКЗИ Министерства допускаются к работе с СКЗИ только после инструктажа и обучения правилам работы с СКЗИ.
8. Обучение Администратора СКЗИ Министерства правилам работы с СКЗИ осуществляют сотрудники соответствующего органа криптографической защиты - Лицензиата. Документом, подтверждающим должную специальную подготовку Администратора СКЗИ Министерства и возможность его допуска к самостоятельной работе с СКЗИ, является заключение, составленное комиссией соответствующего органа криптографической защиты на основании принятых от этих лиц зачетов по программе обучения.
9. Пользователей СКЗИ Министерства инструктирует и обучает Администратор СКЗИ Министерства.
10. Пользователи СКЗИ Министерства обязаны:
а) не разглашать конфиденциальную информацию, к которой они допущены, рубежи ее защиты, в том числе сведения о криптоключах;
б) соблюдать требования к обеспечению безопасности конфиденциальной информации с использованием СКЗИ;
в) сообщать в орган криптографической защиты о ставших им известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;
г) сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным настоящей Инструкцией, при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
д) немедленно уведомлять орган криптографической защиты о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.
Глава 4. РАЗМЕЩЕНИЕ ТЕХНИЧЕСКИХ СРЕДСТВ С СКЗИ
11. Организация режима в помещениях, где располагаются ТС с СКЗИ и ведется работа с носителями с персональной ключевой информацией, описана в правилах пользования СКЗИ.
12. В общем случае в отношении помещений, где установлены ЭВМ, работающие с АИС, должен быть установлен режим, определяющий:
а) лицо, ответственное за помещение;
б) перечень лиц, допущенных к работе в помещении и обслуживанию помещения;
в) порядок доступа в помещение в рабочее и нерабочее время, в аварийных ситуациях (пожар, авария, стихийное бедствие и т.п.);
г) порядок нахождения в помещении посторонних лиц (при необходимости их нахождения).
13. Окна помещений должны быть защищены от НСД посторонних лиц (в случае, если окна на 1 этаже либо рядом с пожарными лестницами) металлическими решетками, а также от визуального просмотра ведущихся в помещениях работ (шторами или жалюзи).
14. Двери помещений должны быть оборудованы надежными замками, гарантирующими их надежное закрытие в нерабочее время.
15. Помещения должны быть оборудованы пожарной сигнализацией, для которых в (организации) установлен порядок периодической проверки их исправности.
16. Параметры сети электроснабжения помещений должны соответствовать требованиям инструкций по эксплуатации ТС и правилам техники безопасности.
17. Внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать Администратору СКЗИ и Пользователям СКЗИ Министерства сохранность доверенных им СКЗИ, конфиденциальных документов и сведений, включая ключевую информацию, и свести к минимуму возможность неконтролируемого доступа к ним посторонних лиц.
18. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ. На время отсутствия пользователей СКЗИ указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища.
Глава 5. ХРАНЕНИЕ СКЗИ, ЭТД, КЛЮЧЕВЫХ ДОКУМЕНТОВ,
ЭТАЛОННЫХ CD-ДИСКОВ
19. СКЗИ, ЭТД, ключевые документы, ключевые носители или аппаратные средства, к которым подключаются или в которые устанавливаются СКЗИ, эталонные CD-диски (диски, инсталлирующие программные СКЗИ), находящиеся у Администратора и Пользователей СКЗИ Министерства, должны храниться в месте, исключающем возможность НСД к ним (сейф, шкаф индивидуального пользования с замком и т.п.), с пометкой в Журнале учета хранилищ. За их сохранность Администратор и Пользователи СКЗИ Министерства несут персональную ответственность.
Глава 6. УСТАНОВКА СКЗИ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ НА ПЭВМ
20. Установка и настройка общесистемного, прикладного ПО и дополнительных средств защиты на ПЭВМ с СКЗИ производится Лицензиатом в соответствии с правилами установки и настройки СКЗИ и ПО, изложенными в ЭТД.
21. К установке и настройке СКЗИ и ПО предъявляются следующие общие требования:
а) устанавливаемое ПО не должно содержать средств разработки и отладки приложений, а также средств, позволяющих осуществить несанкционированный доступ к системным ресурсам;
б) устанавливаемое ПО должно быть лицензионным;
в) устанавливаемое ПО должно предусматривать организацию разрешительной системы доступа, при которой Администратор и Пользователи имеют свои атрибуты (учетную запись) для входа в систему и доступа к ресурсам;
г) устанавливаемое ПО и СКЗИ, а также диски для их инсталляции должны подвергаться периодическому контролю целостности в соответствии с ЭТД;
д) устанавливаемое ПО должно устанавливаться совместно с антивирусным ПО, базы которого должны своевременно и регулярно обновляться;
е) устанавливаемое ПО не должно содержать возможностей, позволяющих модифицировать системные ресурсы (области памяти, программный код), передавать управление несанкционированным подпрограммам, повышать предоставленные привилегии, использовать не документированные разработчиками возможности ОС).
Глава 7. КОНФИГУРИРОВАНИЕ СИСТЕМНОГО И ПРИКЛАДНОГО
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ НА ПЭВМ С СКЗИ
22. К ОС, в среде которой планируется использовать СКЗИ, предъявляются следующие общие требования:
а) на ПЭВМ должна быть установлена только одна лицензионная ОС, удовлетворяющая системным требованиям СКЗИ (запрещается использовать нестандартные, измененные или отладочные версии ОС);
б) удаленное управление ОС должно быть запрещено или ограничено путем отключения всех служб, реализующих данные механизмы, или путем настроек, запрещающих фильтров для протоколов и портов удаленного управления ОС для всех узлов, кроме специально выделенных для этих целей;
в) каждый пользователь Министерства должен иметь для входа в ОС свою учетную запись, длина пароля которой должна быть не менее 6 символов (см. п. 8 Инструкции);
г) учетная запись для гостевого входа (Guest) должна быть отключена;
д) правом установки и настройки ОС и СКЗИ должен обладать только Администратор информационной безопасности Министерства;
е) все неиспользуемые ресурсы ОС должны быть отключены (протоколы, сервисы и т.п.);
ж) режимы безопасности, реализованные в ОС, должны быть настроены на максимальный уровень;
з) всем пользователям и группам, зарегистрированным в ОС, права доступа к ресурсам должны быть назначены в объеме, необходимом для выполнения ими своих обязанностей;
и) доступ должен быть максимально ограничен к следующим ресурсам системы (в соответствующих условиях возможно полное удаление ресурса или его неиспользуемой части):
системный реестр;
файлы и каталоги;
временные файлы;
журналы системы;
файлы подкачки;
кэшируемая информация (пароли и т.п.);
отладочная информация;
к) регулярно должны устанавливаться пакеты обновления безопасности ОС (Service Packs, Hot fix и т.п.), антивирусных баз;
л) периодически должны исследоваться информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий от возможного воздействия на ОС;
м) должна быть исключена возможность открытия и исполнения файлов и скриптовых объектов (например, JavaScript, VBScript, ActiveX), полученных из сети Internet, без проведения соответствующих проверок на предмет содержания в них программных закладок и сетевых вирусов (при подключении к сети Internet);
н) на ПЭВМ с СКЗИ должны использоваться дополнительные методы и средства защиты (например, установка межсетевых экранов, организация VP№ сетей и т.п.) при подключению к сети Internet. При этом предпочтение должно отдаваться сертифицированным средствам защиты;
о) должна быть реализована система аудита событий безопасности ОС, проводиться регулярный анализ результатов аудита;
п) Администратор СКЗИ Министерства должен осуществлять периодический контроль выполнения указанных требований, а также требований, приведенных в ЭТД.
23. Не допускается:
а) обрабатывать на ПЭВМ, оснащенной СКЗИ, информацию, содержащую государственную тайну;
б) осуществлять несанкционированное изменение аппаратной и программной конфигурации ПЭВМ (в том числе несанкционированное вскрытие), СКЗИ, ПО.
Глава 8. ЗАЩИТА СКЗИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
24. Защита СКЗИ от НСД включает в себя выполнение следующих мероприятий:
а) на административном уровне (предпринимаемые руководством министерства здравоохранения Иркутской области по обеспечению процессов ИБ (в частности, по вопросам применения СКЗИ) ресурсами, управлением и контролем со стороны руководства);
б) на организационном уровне (регламентация процессов охраны и режима допуска в отношении СКЗИ, ТС с СКЗИ, помещений, процессов обеспечения информационной безопасности (в частности, при эксплуатации СКЗИ) и контроля эффективности, процессов обеспечения и поддержания компетентности персонала при работе с СКЗИ, распределение обязанностей и ответственности);
в) на техническом уровне (обеспечение соблюдения правил эксплуатации и работоспособности СКЗИ).
Защита СКЗИ от НСД должна удовлетворять следующим общим требованиям:
а) должна обеспечиваться на всех технологических этапах и во всех режимах функционирования СКЗИ, в том числе при проведении ремонтных и регламентных работ;
б) должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль должен периодически выполняться Администратором СКЗИ на основе требований документации на средства защиты от НСД;
в) должна исключать возможность несанкционированного необнаруживаемого доступа к СКЗИ, ТС с СКЗИ, инсталлирующих и ключевых носителей изменения аппаратной части ТС с СКЗИ (путем опечатывания (опломбирования) системного блока и разъемов ПЭВМ, опечатывания замочных скважин мест сейфов, шкафов, ящиков для хранения).
25. Перечень сотрудников, допущенных к работе в помещениях, на ТС с СКЗИ и непосредственно СКЗИ, закреплен распоряжением руководства организации. Все они должны иметь соответствующий уровень компетентности и допускаться к работе только после инструктажа по обеспечению информационной безопасности с использованием СКЗИ и обучения эксплуатации СКЗИ.
26. Для регламентации входа в ОС, BIOS, при осуществлении шифрования на пароле и т.д. Администратор СКЗИ Министерства основывается на Инструкции по организации парольной защиты в АИС.
27. Администратор СКЗИ, а также Пользователи СКЗИ Министерства несут персональную ответственность за обеспечение режима конфиденциальности в отношении паролей доступа. Запрещается записывать пароли на материальные носители и хранить их в легкодоступных местах, в том числе на мониторе, рабочем столе или ящиках стола.
28. Периодичность смены пароля не должна превышать 1 год. Пароль должен быть изменен раньше плановой замены в случае его компрометации. Ответственность за своевременную смену пароля несет Администратор СКЗИ Министерства.
29. Указанная политика обязательна для всех учетных записей, зарегистрированных в ОС. Средствами BIOS должна быть исключена возможность работы на ПЭВМ СКЗИ, если во время ее начальной загрузки не проходят встроенные тесты.
Глава 9. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА
30. Порядок хранения и использования носителей ключевой информации с ключами электронной подписи должен исключать возможность несанкционированного доступа к ним.
31. Пользователи и Администратор СКЗИ Министерства, имеющие доступ к носителям ключевой информации, несут персональную ответственность за безопасность ключевой информации на них и обязаны обеспечивать ее сохранность, неразглашение и нераспространение.
32. Во время работы с носителями ключевой информации доступ к ним посторонних лиц должен быть исключен.
33. При хранении ключевой информации СКЗИ в реестре Windows и на HDD ПЭВМ требования по хранению ключевых носителей распространяются на ПЭВМ.
34. В случае невозможности отчуждения ключевого носителя с ключевой информацией от ПЭВМ организационно-техническими мероприятиями должен быть исключен доступ нарушителей к ПЭВМ с ключами.
35. При хранении ключей на HDD ПЭВМ необходимо использовать парольную защиту.
36. Ключи должны обновляться с периодичностью, указанной в Правилах работы с СКЗИ.
37. Ключи на ключевых носителях (включая Touch Memory и смарт-карты), срок действия которых истек, уничтожаются путем переформатирования ключевых носителей средствами ПО СКЗИ, после чего ключевые носители могут использоваться для записи на них новой ключевой информации.
38. Запрещается:
а) осуществлять несанкционированное копирование ключевых носителей;
б) разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным;
в) вставлять ключевой носитель в считывающее устройство в режимах, не предусмотренных штатным режимом использования ключевого носителя;
г) оставлять без контроля ТС, на которых эксплуатируется СКЗИ, после ввода ключевой информации;
д) использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации средствами СКЗИ.
39. Неиспользованные или выведенные из действия ключевые документы подлежат возвращению в орган криптографической защиты или по его указанию должны быть уничтожены на месте.
40. Уничтожение криптоключей (исходной ключевой информации) может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования).
Глава 10. УЧЕТ СКЗИ
41. Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету по установленным формам в соответствии с требованиями Положения ПКЗ-2005.
42. Администратор информационной безопасности Министерства ведет учет поставки, установки и обслуживания в отношении следующих материалов:
а) СКЗИ (СКЗИ);
б) ЭТД (Э);
в) ключевые документы - физические носители определенной структуры, содержащие ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию (КД);
г) ключевые носители или аппаратные средства, к которым подключаются или в которые устанавливаются СКЗИ (А);
д) эталонные CD-диски (Д).
43. Учет ведется в Журнале поэкземплярного учета средств криптографической защиты информации (СКЗИ), эксплуатационной и технической документации к ним, ключевых документов.
44. Данный журнал должен храниться в месте, исключающем возможность несанкционированного доступа к нему (сейф, личный шкаф с замком и т.п.).
45. За ведение и хранение Журнала отвечает Администратор информационной безопасности Министерства.
Глава 11. КОНТРОЛЬ СОБЛЮДЕНИЯ УСЛОВИЙ ЭКСПЛУАТАЦИИ
И РАБОТОСПОСОБНОСТИ СКЗИ
46. Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется:
а) обладателем, пользователем (потребителем) защищаемой информации, установившим режим защиты информации с применением СКЗИ;
б) собственником (владельцем) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ;
в) ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи.
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК
Приложение 9
к приказу министерства
здравоохранения Иркутской области
от 6 ноября 2015 г. № 120-мпр
ПОЛОЖЕНИЕ
ПО ОРГАНИЗАЦИИ И ПРОВЕДЕНИЮ РАБОТ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ УПРАВЛЕНИЯ
ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТЬЮ В МИНИСТЕРСТВЕ
ЗДРАВООХРАНЕНИЯ ИРКУТСКОЙ ОБЛАСТИ
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Защита информации, обрабатываемой в автоматизированной информационной системе управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство) осуществляется в соответствии с законодательством и требованиями нормативно-технических документов в области защиты информации.
2. Настоящее Положение устанавливает порядок работ по защите информации, обрабатываемой в АИС при ее автоматизированной обработке на этапе эксплуатации АИС.
3. Целью настоящего Положения является определение порядка обработки персональных данных (далее - ПДн), а также обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к ПДн, за невыполнение требований и норм, регулирующих обработку и защиту данных.
4. Защищаемая информация, обрабатываемая в АИС, относится к категории конфиденциальной информации. Конфиденциальность, сохранность и защита ПДн обеспечиваются отнесением их к сфере негосударственной (служебной, профессиональной) тайны.
Глава 2. ОБЩИЕ ПРИНЦИПЫ ПО ОРГАНИЗАЦИИ И УСЛОВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
5. Перечень информации, обрабатываемой в АИС и подлежащей защите, утвержден распоряжением Министерства.
6. В организации должны быть разработаны документы (трудовые договоры, соглашения), регулирующие отношения между организацией и ее работниками, сторонними организациями по порядку обращения с конфиденциальной информацией и ее обмена (приема-передачи).
7. Для должностных лиц организаций, использующих сведения конфиденциального характера, должны быть созданы необходимые условия для соблюдения установленного порядка обращения с такой информацией при ее автоматизированной обработке.
8. Обработка ПДн осуществляется на основе принципов:
а) обработка ПДн должна осуществляться на законной и справедливой основе;
б) обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
в) обработке подлежат только ПДн, которые отвечают целям их обработки;
г) содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
д) при обработке ПДн должны быть обеспечены точность защищаемых данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Министерство должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
е) хранение ПДн должно не дольше, чем этого требуют цели обработки защищаемых данных, если срок хранения защищаемых данных не установлен соответствующим договором;
ж) обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.
9. В целях обеспечения прав и свобод человека и гражданина Министерство при обработке ПДн обязано соблюдать следующие общие требования:
а) обработка ПДн может осуществляться исключительно в целях оказания услуг Министерства;
б) все ПДн следует получать непосредственно у владельца ПДн или у его полномочного представителя. Если ПДн возможно получить только у третьей стороны, то владелец защищаемых данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
в) при определении объема и содержания ПДн Министерство должно руководствоваться Конституцией Российской Федерации, Трудовым кодексом, Федеральным законом "О науке и государственной научно-технической политике", законодательством Российской Федерации в сфере защиты информации;
г) запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении владельца ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральным законодательством, устанавливающим меры по обеспечению соблюдения прав и законных интересов владельца ПДн, или при наличии согласия в письменной форме владельца ПДн;
д) Министерство обязано разъяснить владельцу ПДн порядок принятия решения на основании исключительно автоматизированной обработки его защищаемых данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты владельцем ПДн своих прав и законных интересов;
е) Министерство обязано рассмотреть возражение в течение тридцати дней со дня его получения и уведомить владельца ПДн о результатах рассмотрения такого возражения;
ж) защита данных от неправомерного их использования или утраты должна быть обеспечена Министерством за счет своих средств, в порядке, установленном федеральным законодательством и другими нормативными документами.
Глава 3. ПОЛУЧЕНИЕ ПДН
10. Получение ПДн преимущественно осуществляется путем предоставления их самими владельцами ПДн, на основании их письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации.
11. В случаях, предусмотренных федеральным законодательством, обработка ПДн осуществляется только с согласия владельца ПДн в письменной форме. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью. Согласие владельца ПДн в письменной форме на обработку его ПДн должно включать в себя, в частности:
а) фамилию, имя, отчество владельца ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
б) фамилию, имя, отчество представителя владельца ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
в) наименование или фамилию, имя, отчество и адрес получающего согласие владельца ПДн;
г) цель обработки ПДн;
д) перечень ПДн, на обработку которых дается согласие владельца ПДн;
е) перечень действий с ПДн, на совершение которых дается согласие;
ж) срок, в течение которого действует согласие владельца ПДн, а также способ его отзыва, если иное не установлено федеральным законодательством;
з) подпись владельца ПДн.
12. Для обработки ПДн, содержащихся в согласии в письменной форме владельца ПДн на обработку его ПДн, дополнительное согласие не требуется.
13. В случае недееспособности владельца ПДн данных согласие на обработку его ПДн данных дает в письменной форме его законный представитель.
14. В случае необходимости проверки ПДн Министерство заблаговременно должно сообщить об этом владельцу ПДн, о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа субъекта ПДн дать письменное согласие на их получение.
Глава 4. ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПДН
15. Информация персонального характера владельца ПДн хранится и обрабатывается с соблюдением требований действующего российского законодательства о защите ПДн.
16. Порядок хранения документов, содержащих ПДн, осуществлять в соответствии с:
а) Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
б) Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных".
17. Обработка ПДн в Министерстве осуществляется смешанным путем:
а) неавтоматизированным способом обработки ПДн;
б) автоматизированным способом обработки ПДн (с помощью ПЭВМ и специальных программных продуктов).
18. ПДн хранятся на бумажных носителях и в электронном виде.
19. Хранение текущей документации и оконченной производством документации, содержащей ПДн владельца, осуществляется во внутренних подразделениях и в помещениях Министерства, предназначенных для хранения отработанной документации.
20. Ответственные лица за хранение документов, содержащих ПДн владельца, должны быть назначены соответствующим распоряжением.
21. Хранение ПДн субъектов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
22. Хранение документов, содержащих ПДн субъектов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
23. Министерство обеспечивает ограничение доступа к ПДн субъектов. Доступ к ПДн субъектов без специального разрешения имеют только должностные лица Министерства, допущенные к работе с ПДн субъектов соответствующим приказом. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по обеспечению безопасности ПДн.
Глава 5. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПДН СУБЪЕКТОВ
24. Министерство при обработке ПДн субъектов обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для организации безопасности ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
25. Обеспечение безопасности ПДн субъектов достигается, в частности:
а) определением угроз безопасности ПДн при их обработке в информационных системах ПДн;
б) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к организации безопасности ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности;
в) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
г) для передачи информации по линиям связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные линии связи, в том числе волоконно-оптические линии связи, оборудованные средствами защиты информации, либо предназначенные для этого средства криптографической защиты информации;
д) средства защиты информации от несанкционированного доступа и средства антивирусной защиты должны использоваться во всех узлах локальной вычислительной сети, независимо от наличия (отсутствия) ПДн в данном узле локальной вычислительной сети, и должен обеспечиваться постоянный квалифицированный контроль настроек ответственным лицом;
е) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
ж) накопители и носители информации на бумажной, магнитной (магнитно-оптической) и иной основе должны учитываться и храниться в установленном порядке;
з) обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
и) восстановлением защищаемых данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
к) установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;
л) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.
26. Для обеспечения безопасности ПДн субъектов при неавтоматизированной обработке предпринимаются следующие меры:
Определяются места хранения ПДн, которые оснащаются средствами защиты:
а) в кабинетах, где осуществляется хранение документов, содержащих ПДн субъектов, имеются сейфы, шкафы, стеллажи, тумбы;
б) дополнительно кабинеты, где осуществляется хранение документов, оборудованы замками и системами охранной и пожарной сигнализаций;
в) Министерство использует услуги вневедомственной охраны.
27. Все действия по обработке ПДн субъектов осуществляются только должностными лицами, согласно "Списку должностей", допущенных к работе с ПДн, утвержденному распоряжением Министерства, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
28. При обработке ПДн на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо несовместимы. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
а) при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) только копия;
б) при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию;
в) уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление);
г) ПДн субъектов, содержащиеся на материальных носителях, уничтожаются по Акту об уничтожении ПДн.
Эти правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе ПДн и информации, не подлежащей защите.
а) Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными защищаемыми данными.
б) Обработка ПДн осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
29. Для обеспечения безопасности ПДн субъекта при автоматизированной обработке предпринимаются следующие меры:
а) все действия при автоматизированной обработке ПДн субъектов осуществляются только должностными лицами, согласно "Списку должностей", допущенных к работе с ПДн, утвержденному распоряжением Министерства, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции;
б) персональные компьютеры, имеющие доступ к базам хранения ПДн субъектов, защищены паролями доступа. Пароли устанавливаются Администратором информационной безопасности Министерства и сообщаются индивидуально работнику, допущенному к работе с ПДн и осуществляющему обработку ПДн субъектов ПДн на данном персональном компьютере;
в) обработка ПДн осуществляется с соблюдением приказа Федеральной службы по техническому и экспортному контролю России от 14 мая 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
30. Режим конфиденциальности ПДн снимается по истечении срока их хранения, в соответствии с приказами по архивному делу, или продлевается на основании заключения экспертной комиссии Министерства, если иное не определено законодательством Российской Федерации.
Глава 6. ПЕРЕДАЧА ПДН СУБЪЕКТОВ ТРЕТЬИМ ЛИЦАМ
31. Передача ПДн субъектов третьим лицам осуществляется в Министерстве только с письменного согласия субъекта ПДн, за исключением случаев, если:
а) передача необходима для защиты жизни и здоровья субъекта защищаемых данных либо других лиц и получение их согласия невозможно;
б) в целях обследования и лечения субъекта ПДн, не способного из-за своего состояния выразить свою волю;
в) по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Законом об оперативно-розыскной деятельности;
г) в случае оказания помощи несовершеннолетнему в возрасте до 15 лет, для информирования его родителей или законных представителей;
д) при наличии оснований, позволяющих полагать, что права и интересы субъекта ПДн могут быть нарушены противоправными действиями других лиц;
е) в иных случаях, прямо предусмотренных федеральным законодательством.
32. Лица, которым в установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" порядке переданы сведения, составляющие ПДн субъекта, несут дисциплинарную, административную или уголовную ответственность за разглашение в соответствии с законодательством Российской Федерации.
33. Передача ПДн субъекта третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой руководителя Министерства при условии соблюдения требований, предусмотренных пунктом 7.1 настоящего Положения.
34. Министерство обеспечивает ведение Журнала учета выданных ПДн субъектов по запросам третьих лиц, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи ПДн, а также отмечается, какая именно информация была передана.
35. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законодательством на получение ПДн субъекта либо отсутствует письменное согласие субъекта ПДн на передачу его ПДн, Министерство обязано отказать в предоставлении ПДн. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении ПДн в письменной форме, копия отказа хранится у Министерства.
Глава 7. ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ ПДН СУБЪЕКТОВ
36. Включение ПДн субъекта в общедоступные источники ПДн возможно только при наличии его письменного согласия.
37. При обезличивании ПДн согласие субъекта на включение ПДн в общедоступные источники ПДн не требуется.
38. Сведения о субъектах ПДн могут быть исключены из общедоступных источников ПДн по требованию самого субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
Глава 8. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА В ОБЛАСТИ ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ЕГО ПДН
39. В целях обеспечения безопасности ПДн, хранящихся у Министерства, субъекты ПДн имеют право на:
а) полную информацию о составе и содержимом их ПДн, а также способе их обработки;
б) свободный доступ к своим ПДн.
40. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
а) подтверждение факта обработки ПДн в Министерстве;
б) правовые основания и цели обработки ПДн;
в) цели и применяемые в Министерстве способы обработки ПДн;
г) наименование и место нахождения Министерства, сведения о лицах (за исключением работников Министерства), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Министерством или на основании Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";
д) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных";
е) сроки обработки ПДн, в том числе сроки их хранения;
ж) порядок осуществления субъектом ПДн прав, предусмотренных федеральным законом;
з) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
и) иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" или федеральным законодательством.
41. Сведения должны быть предоставлены субъекту ПДн Министерством в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
42. Сведения предоставляются субъекту ПДн или его представителю при обращении в Министерство либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Министерством (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Министерством, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
43. В случае если сведения, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Министерству или направить ему повторный запрос в целях получения сведений и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законодательством, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
44. Субъект ПДн вправе требовать от Министерства уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
45. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн Министерство обязано осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн.
46. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Министерство обязано осуществить блокирование ПДн, относящихся к этому субъекту ПДн, с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
47. В случае подтверждения факта неточности ПДн Министерство на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязано уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
48. В случае выявления неправомерной обработки ПДн, осуществляемой Министерством, Министерство в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку ПДн.
49. В случае если обеспечить правомерность обработки ПДн невозможно, Министерство в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязано уничтожить такие ПДн.
50. Об устранении допущенных нарушений или об уничтожении ПДн Министерство обязано уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
51. В случае достижения цели обработки ПДн Министерство обязано прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Министерством и субъектом ПДн.
52. В случае отзыва субъектом ПДн согласия на обработку его ПДн Министерство обязано прекратить их обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Министерством и субъектом ПДн.
53. В случае отсутствия возможности уничтожения ПДн в течение указанного срока Министерство осуществляет блокирование таких ПДн и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральным законодательством.
54. Для своевременной и полной реализации своих прав субъект ПДн обязан предоставить Министерству достоверные ПДн.
Глава 9. ПРАВО НА ОБЖАЛОВАНИЕ ДЕЙСТВИЙ ИЛИ БЕЗДЕЙСТВИЯ
МИНИСТЕРСТВА
55. Если субъект ПДн или его законный представитель считает, что Министерство осуществляет обработку его ПДн с нарушением требований Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Министерства в уполномоченном органе по защите прав субъектов ПДн (Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) или в судебном порядке.
56. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
57. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", а также требований к защите ПДн, установленных в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.
Глава 10. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ
ОБРАБОТКУ И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПДН СУБЪЕКТОВ
58. Лица, виновные в нарушении норм, регулирующих получение, обработку и обеспечение безопасности ПДн субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральным законодательством.
59. Работники Министерства, допущенные к обработке ПДн субъектов, за разглашение полученной в ходе своей трудовой деятельности информации несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
Глава 11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
60. Настоящее Положение вступает в силу с даты его утверждения.
61. При необходимости приведения настоящего Положения в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании соответствующего распоряжения.
62. Настоящее Положение распространяется на всех субъектов ПДн, а также работников Министерства, имеющих доступ и осуществляющих перечень действий с ПДн субъектов.
63. Субъекты ПДн Министерства, а также их законные представители имеют право ознакомиться с настоящим Положением.
64. Работники Министерства подлежат ознакомлению с данным документом в порядке, предусмотренном соответствующим распоряжением Министерства, под личную подпись.
65. В обязанности работников Министерства, осуществляющих первичный сбор ПДн субъекта, входит получение согласия субъекта ПДн на обработку его ПДн под личную подпись.
66. Документы, определяющие политику в отношении обработки ПДн субъектов, размещены на официальном сайте или информационном стенде Министерства в течение 10 дней после их утверждения.
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК
------------------------------------------------------------------