Приказ о назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах (название Медицинской организации)
|
Скачать 1.53 Mb.
|
7. Порядок проверки электронного журнала обращений к ИСПДн. 7.1. Настоящий раздел Положения определяет порядок проверки электронных журналов обращений к ресурсам ИСПДн. 7.2. Проверка электронного журнала обращений проводится с целью выявления несанкционированного доступа к защищаемой информации в ИСПДн. 7.3. Право проверки электронного журнала обращений имеют: - администратор информационной безопасности; - ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн; - руководитель 7.4. На технических средствах ИСПДн, на которых установлены специализированные средства защиты информации (далее – СЗИ) типа «Страж», «Secret Net», DallasLock и другие, проверка электронного журнала производится в соответствии с прилагаемым к указанным СЗИ Руководством. 7.5. Если в ходе периодических, плановых или внеплановых проверок ИСПДн выявлены случай несанкционированного доступа (далее-НСД) к информации конфиденциального характера, то вступает в силу п.п. 3.7., 3.8. данного Положения. 7.6. Проверке подлежат все электронные журналы ИСПДн. 7.7. Проверка должна проводиться не реже чем один раз в неделю с целью своевременного выявления фактов нарушения требований настоящего Положения. 7.8. Факты проверок электронных журналов отражаются в специальном журнале проверок. После каждой проверки администратор информационной безопасности делает соответствующую отметку в журнале и ставит свою роспись. 8. Правила антивирусной защиты. 8.1. На каждом компьютере ИСПДн должны быть установлены лицензионные антивирусные средства, сертифицированные ФСТЭК РФ. 8.2. Установка и начальная настройка средств антивирусного контроля на компьютерах осуществляется специалистами, ответственными за техническое обеспечение информационных систем учреждения. 8.3. Специалисты, ответственные за техническое обеспечение информационных систем учреждения, осуществляют периодическое обновление антивирусных пакетов и контроль их работоспособности. 8.4.Установку и удаление средств антивирусной защиты также может осуществлять администратор информационной безопасности. 8.5. Ярлык (ссылка) для запуска антивирусной программы должен быть доступен всем пользователям информационной системы. 8.6. Еженедельно в начале работы, после загрузки компьютера в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов компьютеров. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель). Настройку средств антивирусной защиты выполняет администратор информационной безопасности, либо специалисты, ответственные за техническое обеспечение учреждения, по согласованию администратором информационной безопасности. 8.7. Файлы, помещаемые в электронный архив на магнитных носителях, должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в месяц. 8.8. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера, администратором информационной безопасности должна быть выполнена антивирусная проверка ИСПДн. 8.9. На компьютеры запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации. 8.10. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь самостоятельно (или вместе с администратором информационной безопасности) должен провести внеочередной антивирусный контроль компьютера. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователь обязан: - приостановить обработку данных в ИСПДн; - немедленно поставить в известность о факте обнаружения зараженных вирусом файлов администратора информационной безопасности, а также смежные подразделения, использующие эти файлы в работе; - совместно с владельцем зараженных вирусом файлов провести анализ возможности, дальнейшего их использования; - провести лечение или уничтожение зараженных файлов. 8.11. Ответственность за организацию антивирусного контроля в ИСПДн в соответствии с требованиями настоящего Положения возлагается на администратора информационной безопасности. 8.12. Ответственность за проведение мероприятий антивирусной защиты в конкретной ИСПДн и соблюдение требований настоящего Положения возлагается на специалистов по техническому обеспечению, администратора информационной безопасности и всех пользователей данной ИСПДн. 9. Правила парольной защиты. 9.1. Данные правила регламентируют организационно-технические мероприятия по обеспечению процессов генерации, смены и прекращения действия паролей в ИСПДн, а также контроль действий пользователей при работе с паролями. 9.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль действий пользователей при работе с паролями возлагается на администратора информационной безопасности. 9.3. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями объекта вычислительной техники самостоятельно с учетом следующих требований: - пароль должен быть не менее 6 символов; - в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.); - символы паролей для рабочих станций, на которых установлено средство защиты информации от несанкционированного доступа, должны вводиться в режиме латинской раскладки клавиатуры; - пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.); - при смене пароля новое значение должно отличаться от предыдущих; - пользователь не имеет права сообщать личный пароль другим лицам. 9.4. Администратор ИСПДн передает свои аутентификационные данные для запуска прикладного ПО БД ИСПДн на бумажном носителе в опечатанном конверте администратору информационной безопасности, который в свою очередь хранит их в закрывающемся на ключ хранилище. 9.5. В случае имеющейся служебной необходимости, продиктованной возникновением нештатных ситуаций или других форс-мажорных факторов, при условии отсутствия на рабочем месте пользователя ИСПДн, руководитель подразделения оформляет в письменном виде заявку на сброс пароля отсутствующего пользователя и направляет ее ответственному за обеспечение безопасности персональных данных при их обработке в ИСПДн. В заявке должно быть изложено обоснование необходимости сброса пароля, указаны Ф.И.О. пользователя, чей пароль необходимо сбросить, Ф.И.О., должность специалиста, который будет осуществлять обработку ПДн от имени отсутствующего пользователя, а так же временной отрезок, в течение которого им будет производиться обработка ПДн. 9.6. В случае, если основания, указанные в заявке, являются достаточными для сброса пароля, ответственный за защиту информации поручает администратору информационной безопасности сбросить, установленный в СЗИ от НСД, личный пароль указанного в заявке пользователя. 9.7. В случае, если прикладное ПО БД ИСПДн обладает системой аутентификации, пароль для запуска прикладного ПО сбрасывает администратор ИСПДн, либо ответственный пользователь, по той же заявке, в случае их отсутствия пароль имеет право сбросить администратор информационной безопасности, воспользовавшись для входа в систему управления аутентификационными данными администратора ИСПДн. 9.8. После выполнения необходимых работ все пароли изменяются и на бумажных носителях в опечатанных конверте, передаются пользователям ИСПДн. После этого пользователи устанавливают себе новые пароли. 9.9. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в течение 60 дней. 9.10. Внеплановая смена личного пароля или удаление учетной записи пользователя ИСПДн в случае прекращения его полномочий (увольнение, переход на другую работу внутри организации и т.п.) должна производиться администратором информационной безопасности немедленно после окончания последнего сеанса работы данного пользователя с системой на основании указания начальника отдела. 9.11. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри организации и другие обстоятельства) администратора информационной безопасности. 9.12. В случае компрометации личного пароля пользователя ИСПДн должны быть немедленно предприняты меры по восстановлению парольной защиты. 9.13. Контроль действий пользователей при работе с паролями, соблюдение порядка их смены, хранения и использования возлагается на администратора информационной безопасности. 10. Правила обновления и конфигурирования программного обеспечения СЗИ и Прикладного программного обеспечения, используемого для обработки ПДн. 10.1.Настоящие правила регламентируют обеспечение безопасности информации при проведении обновления и конфигурирования программного обеспечения СЗИ и Прикладного программного обеспечения, используемого для обработки ПДн. 10.2. Все изменения программного обеспечения СЗИ и Прикладного программного обеспечения, используемого для обработки ПДн, должны производиться администратором информационной безопасности и/или лицами ответственными за техническое обеспечение учреждения (при согласовании с администратором информационной безопасности), на основании заявки администратора ИСПДн, направляемой ответственному за обработку персональных данных. 10.3. Обновление и конфигурация программного обеспечения, не используемого для непосредственной обработки ПДн и не являющегося ПО СЗИ, а также аппаратной составляющей элементов ИСПДн, осуществляется сотрудниками отдела технического обеспечения учреждения в обычном порядке. 10.4. В случае если АРМ проходил аттестацию соответствия требованиям защиты информации, изменение аппаратно – программной составляющей ИСПДн также производится основании заявки. 10.5. Изменение конфигурации программных средств ИСПДн кем-либо, кроме вышеперечисленных уполномоченных сотрудников запрещено. 10.6. Процедура внесения изменений в конфигурацию программного обеспечения СЗИ и Прикладного программного обеспечения, используемого для обработки ПДн, инициируется заявкой администратора ИСПДн. 10.7. В заявке могут указываться следующие виды необходимых изменений в составе аппаратных и программных средств ИСПДн: - установка (развертывание) на компьютер(ы) программных средств, необходимых для решения определенной задачи (добавление возможности решения данной задачи в данной ИСПДн); - обновление(замена) на компьютере(ах) программных средств, необходимых для решения определенной задачи (обновление версий используемых для решения определенной задачи программ); - удаление с компьютера программных средств, использовавшихся для решения определенной задачи (исключение возможности решения данной задачи на данном компьютере). 10.8. Заявку администратора ИСПДн, в которой требуется произвести изменения конфигурации, рассматривает руководитель, визирует ее, утверждая тем самым производственную необходимость проведения указанных в заявке изменений, после чего заявка передается администратору информационной безопасности для непосредственного исполнения работ по внесению изменений в конфигурацию компьютера указанного в заявке самостоятельно или с привлечением сотрудников, ответственных за техническое обеспечение учреждения. 10.9. Подготовка обновления, модификации общесистемного и прикладного программного обеспечения ИСПДн тестирование, стендовые испытания (при необходимости) и передача исходных текстов, документации и дистрибутивных носителей программ в архив дистрибутивов установленного программного обеспечения, внесение необходимых изменений в настройки средств защиты от НСД и средств контроля целостности файлов на компьютерах, (обновление) и удаление системных и прикладных программных средств производится администратором информационной безопасности по согласованию с органом по аттестации (в случае, если проводилась аттестация), проводившим аттестацию данной ИСПДн. Работы производятся в присутствии администратора ИСПДн. 10.10. Установка или обновление подсистем ИСПДн должны проводиться в соответствии с технологией проведения модификаций программных комплексов данных подсистем, указанной в технической документации, если таковая имеется. 10.11. Установка и обновление ПО (системного, тестового и т.п.) на компьютерах производится только с оригинальных лицензионных дистрибутивных носителей (дискет, компакт-дисков и т.п.), прикладного ПО – с эталонных копий программных средств, полученных из архива дистрибутивов установленного программного обеспечения. 10.12. ПО средств защиты информации устанавливается с носителей, обладающих специальной голографической наклейкой, подтверждающей их подлинность, если иное не указано в документации к данному ПО. 10.13. Все добавляемые программные и аппаратные компоненты должны быть предварительно проверены на работоспособность, а также на совместимость с установленными программным обеспечением и операционной системой. 10.14. После установки (обновления) ПО, администратор информационной безопасности должен произвести требуемые настройки средств управления доступом к компонентам компьютера, проверить работоспособность ПО и правильность их настройки и произвести соответствующую запись в «Журнале учета нештатных ситуаций в ИСПДн, выполнения профилактических работ, установки, модификации программных средств на компьютерах ИСПДн», делает отметку о выполнении (на обратной стороне заявки) и в «Техническом паспорте». 10.15. Формат записей «Журнала учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн» устанавливается приказом руководителя Организации. 10.16. При возникновении ситуаций, требующих передачи технических средств в сервисный центр с целью ремонта, ответственный за ее эксплуатацию докладывает об этом ответственному за обеспечение безопасности персональных данных при их обработке в ИСПДн, который в свою очередь связывается с сотрудниками органа по аттестации (в случае, если проводилась аттестация) и в дальнейшем действует согласно их инструкций. При этом администратор информационной безопасности обязан предпринять необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Оригиналы заявок (документов), на основании которых производились изменения в составе программных средств компьютеров с отметками о внесении изменений в состав программных средств, должны храниться вместе с техническим паспортом на ИСПДн и «Журналом учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн» у ответственного за обеспечение безопасности персональных данных при их обработке в ИСПДн. 10.17. Копии заявок могут храниться у администратора информационной безопасности: - для восстановления конфигурации ИСПДн после аварий; - для контроля правомерности установки на ИСПДн средств для решения соответствующих задач при разборе конфликтных ситуаций; -для проверки правильности установки и настройки средств защиты ИСПДн 10.18. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью администратора информационной безопасности и администратора ИСПДн. |
Похожие:
 |
Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных... |
|
Инструкция лица, ответственного за обеспечение безопасности персональных данных общие положения Настоящая Инструкция определяет обязанности должностного лица, ответственным за обеспечение безопасности обработки персональных данных... |
 |
Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных... |
|
Приказ о назначении ответственного за организацию обработки персональных данных проект приказа Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных... |
|
Приказ о назначении ответственного за организацию обработки персональных данных проект приказа Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных... |
|
Инструкция по работе ответственного за обеспечение безопасности персональных... Настоящая инструкция определяет задачи, функции, обязанности, права и ответственность лица, назначенного ответственным за обеспечение... |
|
Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных... |
|
Приказ 30 декабря 2010 года №217 Об утверждении Инструкции по работе... В целях защиты персональных данных, используемых в министерстве финансов и налоговой политики Новосибирской области и реализации... |
|
Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных... |
|
Инструкция пользователей и технология обработки персональных данных... Настоящая Инструкция определяет требования, права, обязанности, а так же порядок реализации задач и функций пользователей информационных... |
|
Приказ о назначении ответственного за обеспечение безопасности персональных данных 10 3 Испдн класса K1 в соответствии с Порядком проведения классификации информационных систем персональных данных утвержденного приказом... |
|
Приказ о назначении ответственного за пожарную безопасность в организации... |
|
Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской... |
|
Положение по организации и проведению работ по обеспечению безопасности... Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных... |
|
Должностная инструкция лица, ответственного за организацию обработки... «Об утверждении перечня мер, направленных па обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных... |
|
Должностная инструкция ответственного за организацию обработки персональных... Федеральным законом от 27. 07. 2006 №152-фз «О персональных данных», нормативными правовыми актами Губернатора Рязанской области... |