5 Разработка и утверждение положения, определяющего организацию и порядок проведения работ по обеспечению безопасности персональных данных при их обработке в ИСПДн
Разработка положения включает в себя несколько этапов.
Разработать положение могут как специалисты Учреждения, так и специальные организации, имеющие лицензию на осуществление деятельности по защите персональных данных.
Утверждается положение руководителем Учреждения, согласовывается со специальными уполномоченными организациями.
Образец положения – ПРИЛОЖЕНИЕ № 9.
Общий порядок организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн
Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.
Ответственным по обеспечению безопасности ПДн при их обработке в ИСПДн рекомендуется назначить системного администратора или специалиста по защите информации Учреждения. Функции по разработке и осуществлению мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн рекомендуется возлагать на старшего системного администратора или специалиста по защите информации Учреждения.
Сотрудники предприятия, ответственные за хранение персональных данных, а также сотрудники предприятия, владеющие персональными данными в силу своих должностных обязанностей, подписывают Обязательство о конфиденциальности - Приложение № 10.
Организационные мероприятия по обеспечению безопасности персональных данных
Организационные мероприятия являются обязательными для выполнения всеми Учреждениями, эксплуатирующими ИСПДн, и могут быть выполнены специалистами Учреждений без привлечения сторонних организаций и без выделения дополнительного финансирования со стороны Минздравсоцразвития, или специальными организациями, имеющими лицензии на осуществление деятельности по защите ПДн.
Все организационные мероприятия необходимо выполнять в соответствии с Планом организационных мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных Учреждения. Образец плана представлен в ПРИЛОЖЕНИИ № 11.
Образец Концепции информационной безопасности, политики информационной безопасности приведены в ПРИЛОЖЕНИИ № 19, 20.
3 Обязанности должностных лиц, эксплуатирующих ИСПДн, в части обеспечения безопасности персональных данных при их обработке в ИСПДн
Пользователь ИСПДн осуществляет обработку персональных данных в информационной системе персональных данных.
Пользователем является каждый сотрудник Учреждения, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.
Обязанности должностных лиц, эксплуатирующих ИСПДн, в части обеспечения безопасности персональных данных при их обработке в ИСПДн описаны в 4 пункте Положения (приложение № 9).
4 Порядок предоставления информации органам государственной власти и местного самоуправления, физическим и юридическим лицам
Порядок предоставления информации органам государственной власти и местного самоуправления, физическим и юридическим лицам описан в пункте 5 Положения (приложение № 9).
Порядок приостановки предоставления персональных данных в случае обнаружения нарушений порядка их предоставления
Порядок приостановки предоставления персональных данных в случае обнаружения нарушений порядка их предоставления описаны в 7 и 14 пунктах Положения (приложение № 9).
Рекомендуется назначить председателем комиссии ответственного за обеспечение безопасности ПДн, членами комиссии – специалистов по разработке и осуществлению мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн.
Порядок обучения администраторов средств (систем) защиты информации, в том числе средств антивирусной защиты, и первичного инструктажа пользователей
Учреждениям рекомендуется не реже одного раза в год проводить обучение администраторов ИСПДн по вопросам информационной безопасности с доведением под подпись требований нормативных документов по защите ПДн.
Порядок организации ведения и периодической проверки электронного журнала обращений пользователей информационной системы персональных данных
Порядок организации ведения и периодической проверки электронного журнала обращений пользователей информационной системы персональных данных описан в пункте 8 Положения (приложение № 9).
Рекомендуется проверять содержание электронного журнала обращений периодически, но не реже одного раза в месяц. Проверку проводить администратору информационной безопасности.
Правила парольной защиты
Правила парольной защиты описаны в пункте 9 (приложение № 9).
Рекомендуется регулярно не реже 1 раза в 3 месяца проводить смену паролей. При увольнении работника немедленно провести смену пароля.
Администратор ведет "Журнал принудительной смены личных паролей" – ПРИЛОЖЕНИЕ № 12, в котором отмечает причины внеплановой смены паролей пользователей.
Пример заполнения журнала:
№
п/п
|
ФИО пользователя
|
Имя учётной записи
|
Причина смены пароля
|
Дата и время принудительной смены пароля
|
Подписи
|
Пользователь
|
Администратор
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
1
|
Иванов В.П.
|
Adm_bezopasnosti
|
Переход на другую должность
|
25.04.2012
12.15
|
|
|
Срочная (внеплановая) полная смена пароля должна производится в случае прекращения полномочий (увольнение или переход на другую работу) администраторов информационной системы и других сотрудников, которым по роду работы были предоставлены полномочия по управлению системой парольной защиты.
Периодический контроль за соблюдением требований парольной защиты рекомендуется возлагается на системного администратора.
Правила антивирусной защиты
Правила антивирусной защиты описаны в пункте 10 (приложение № 9).
Необходимо помнить, что антивирусное и другое программное обеспечение, используемое для защиты от вредоносных программ, должно быть лицензированным и приобретенным на законном основании. Обязательным условием полноценного функционирования указанного ПО является заключение договоров на его обновление и сопровождение.
Пользователям ИСПДн запрещено самостоятельное копирование и установка ПО любого назначения. Копирование или установка какого-либо ПО должны производиться исключительно администратором ИБ.
Правила обновления общесистемного и прикладного программного обеспечения информационных систем персональных данных
Правила обновления общесистемного и прикладного программного обеспечения информационных систем персональных данных описаны в пункте 11 (приложение № 9).
Обновления общесистемного и прикладного программного обеспечения ИСПДн осуществляются под контролем системного администратора или специалиста по защите информации, при необходимости – специализированных организаций.
|