Разработать положение могут как специалисты Учреждения, так и специальные организации, имеющие лицензию на осуществление деятельности по защите персональных данных.
Утверждается положение руководителем Учреждения, согласовывается со специальными уполномоченными организациями.
Образец положения – ПРИЛОЖЕНИЕ № 9.
1 Общий порядок организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн
Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.
Ответственным по обеспечению безопасности ПДн при их обработке в ИСПДн рекомендуется назначить системного администратора или специалиста по защите информации Учреждения. Функции по разработке и осуществлению мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн рекомендуется возлагать на старшего системного администратора или специалиста по защите информации Учреждения.
Сотрудники предприятия, ответственные за хранение персональных данных, а также сотрудники предприятия, владеющие персональными данными в силу своих должностных обязанностей, подписывают Обязательство о конфиденциальности - Приложение .
2 Организационные мероприятия по обеспечению безопасности персональных данных
Организационные мероприятия являются обязательными для выполнения всеми Учреждениями, эксплуатирующими ИСПДн, и могут быть выполнены специалистами Учреждений без привлечения сторонних организаций и без выделения дополнительного финансирования со стороны Минздравсоцразвития, или специальными организациями, имеющими лицензии на осуществление деятельности по защите ПДн.
Все организационные мероприятия необходимо выполнять в соответствии с Планом организационных мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных Учреждения. Образец плана представлен в ПРИЛОЖЕНИИ № 11.
Образец Концепции информационной безопасности, политики информационной безопасности приведены в ПРИЛОЖЕНИИ № 19, 20.
3 Обязанности должностных лиц, эксплуатирующих ИСПДн, в части обеспечения безопасности персональных данных при их обработке в ИСПДн
Пользователь ИСПДн осуществляет обработку персональных данных в информационной системе персональных данных.
Пользователем является каждый сотрудник Учреждения, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.
Обязанности должностных лиц, эксплуатирующих ИСПДн, в части обеспечения безопасности персональных данных при их обработке в ИСПДн описаны в 4 пункте Положения (приложение № 9).
4 Порядок предоставления информации органам государственной власти и местного самоуправления, физическим и юридическим лицам
Порядок предоставления информации органам государственной власти и местного самоуправления, физическим и юридическим лицам описан в пункте 5 Положения (приложение № 9).
5 Порядок приостановки предоставления персональных данных в случае обнаружения нарушений порядка их предоставления
Порядок приостановки предоставления персональных данных в случае обнаружения нарушений порядка их предоставления описаны в 7 и 14 пунктах Положения (приложение № 9).
Рекомендуется назначить председателем комиссии ответственного за обеспечение безопасности ПДн, членами комиссии – специалистов по разработке и осуществлению мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн.
6 Порядок обучения администраторов средств (систем) защиты информации, в том числе средств антивирусной защиты, и первичного инструктажа пользователей
Учреждениям рекомендуется не реже одного раза в год проводить обучение администраторов ИСПДн по вопросам информационной безопасности с доведением под подпись требований нормативных документов по защите ПДн.
7 Порядок организации ведения и периодической проверки электронного журнала обращений пользователей информационной системы персональных данных
Порядок организации ведения и периодической проверки электронного журнала обращений пользователей информационной системы персональных данных описан в пункте 8 Положения (приложение № 9).
Рекомендуется проверять содержание электронного журнала обращений периодически, но не реже одного раза в месяц. Проверку проводить администратору информационной безопасности.
8 Правила парольной защиты
Правила парольной защиты описаны в пункте 9 (приложение № 9).
Рекомендуется регулярно не реже 1 раза в 3 месяца проводить смену паролей. При увольнении работника немедленно провести смену пароля.
Администратор ведет "Журнал принудительной смены личных паролей" – ПРИЛОЖЕНИЕ № 12, в котором отмечает причины внеплановой смены паролей пользователей.
Пример заполнения журнала:
№ п/п | ФИО пользователя | Имя учётной записи | Причина смены пароля | Дата и время принудительной смены пароля | Подписи | |
Пользователь | Администратор | |||||
1 | 2 | 3 | 4 | 5 | 6 | 7 |
1 | П. | Adm_bezopasnosti | Переход на другую должность | 25.04.2012 12.15 |
Срочная (внеплановая) полная смена пароля должна производится в случае прекращения полномочий (увольнение или переход на другую работу) администраторов информационной системы и других сотрудников, которым по роду работы были предоставлены полномочия по управлению системой парольной защиты.
Периодический контроль за соблюдением требований парольной защиты рекомендуется возлагается на системного администратора.
9 Правила антивирусной защиты
Правила антивирусной защиты описаны в пункте 10 (приложение № 9).
Необходимо помнить, что антивирусное и другое программное обеспечение, используемое для защиты от вредоносных программ, должно быть лицензированным и приобретенным на законном основании. Обязательным условием полноценного функционирования указанного ПО является заключение договоров на его обновление и сопровождение.
Пользователям ИСПДн запрещено самостоятельное копирование и установка ПО любого назначения. Копирование или установка какого-либо ПО должны производиться исключительно администратором ИБ.
10 Правила обновления общесистемного и прикладного программного обеспечения информационных систем персональных данных
Правила обновления общесистемного и прикладного программного обеспечения информационных систем персональных данных описаны в пункте 11 (приложение № 9).
Обновления общесистемного и прикладного программного обеспечения ИСПДн осуществляются под контролем системного администратора или специалиста по защите информации, при необходимости – специализированных организаций.
6 Оформление и регистрация журнала учета средств защиты информации с указанием индексов, наименований, серийных номеров средств защиты информации, номеров специальных защитных знаков, номеров и сроков действия сертификатов на средства защиты, мест установки средств защиты информации.
Журнал учета средств защиты информации оформляется в соответствии с ПРИЛОЖЕНИЕМ № 13.
В журнал необходимо заносить не только СЗИ, но и сопровождающие их документы, например, инструкции по эксплуатации.
Пример заполнения журнала:
№ п/п | Индекс и наименование средства защиты информации | Серийный (заводской) номер | Номер специального защитного знака | Наименование организации, установившей СЗИ | Место установки | Примечание |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
1 | СЗИ 1 | 12345 | 456 | ИСПДн | ||
2 | Инструкция по эксплуатации СЗИ 1 | 13 | Выдана ответственному |
7 Разработка и утверждение инструкции по порядку резервирования и восстановления персональных данных
Инструкция по порядку резервирования и восстановления ПДн приведена в ПРИЛОЖЕНИИ № 14.
Рекомендуемый срок резервирования данных на локальные дисковые массивы – 1 неделя.
Рекомендуемый срок создавать резервирования копий путем копирования информации на компактный оптический диск (далее – КОД) или флеш-накопитель – 2 раза в месяц.
8 Оформление и регистрация журнала учета машинных носителей персональных данных с указанием типа, емкости, учетного номера, места установки (использования), даты установки носителей, ответственного должностного лица, сведений о списании носителя и уничтожения информации
Журнал учета средств машинных носителей ПДн оформляется в соответствии с ПРИЛОЖЕНИЕМ № 15.
Пример заполнения журнала:
№ п/п | Регистрационный номер/дата | Место установки (использования)/дата установки | Тип машинного носителя персональных данных | Ёмкость машинного носителя персональных данных | Номер экземпляра/ количество экземпляров | Серийный номер | Ответственное должностное лицо (ФИО) | Расписка в получении (ФИО, подпись, дата) | Расписка в обратном приеме (ФИО, подпись, дата) | Место хранения машинного носителя персональных данных | Сведения об уничтожении машинных носителей персональных данных, стирании информации (подпись, дата) |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 |
1 | 1234/15.04.2012 | АРМ № 1/19.04.2012 | HDD | 1 Гбайт | 2/10 | AZ-1234 | Сейф отдела |
9 Настройка средств защиты информации от НСД в соответствии с методами и способами защиты информации в зависимости от класса ИСПДн, утвержденными приказом ФСТЭК России от 5 февраля 2010 г. №58
Методами и способами защиты информации от несанкционированного доступа на основании приказа ФСТЭК России от 5 февраля 2010г. №58 являются:
· реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
· ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
· разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
· регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
· учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
· резервирование технических средств, дублирование массивов и носителей информации;
· использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
· использование защищенных каналов связи;
· размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
· организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
· предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.
Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия в зависимости от класса информационной системы определяются оператором (уполномоченным лицом).
В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты. Основными способами защиты таких информационных систем от несанкционированного доступа являются:
· межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
· обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
· анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
· защита информации при ее передаче по каналам связи;
· использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
· использование средств антивирусной защиты;
· централизованное управление системой защиты персональных данных информационной системы.
Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса (к которым относятся ИСПДН Учреждений здравоохранения), проходит контроль отсутствия недекларированных возможностей.
Настройка СЗИ от НСД проводится специалистами организации или организациями, имеющими лицензию на проведение работ по защите информации.
10 Проведение оценки готовности используемых в ИСПДн средств защиты информации с составлением заключений о возможности их эксплуатации
Проведение оценки готовности используемых СЗИ проводится на этапе аттестации объекта защита.
Готовность используемых средств защиты и их достаточность проводится организациями, имеющими лицензию на проведение работ по защите информации. Заключение о возможности эксплуатации выдаётся ими же.
III МЕРОПРИЯТИЯ ПО ОЦЕНКЕ СООТВЕТСТВИЯ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оформление и утверждение программ и методик аттестационных испытаний информационных систем персональных данных.
Оформление протоколов аттестационных испытаний, подтверждающих полученные при испытаниях результаты.
Аттестационные испытания проводятся организациями, имеющими необходимые лицензии ФСТЭК России.
1) Размещение государственного заказа на выполнение аттестационных работ на сайте *****.
После того, как была выбрана организация, происходит подача и рассмотрение заявки на аттестацию.
Учреждение заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации по форме, приведенной в ПРИЛОЖЕНИИ № 16.
2) После рассмотрения заявки, специалисты выбранной организации на месте знакомятся с объектом защиты, выявляя особенности, которые были ранее не замечены.
3) При использовании на аттестуемом объекте информатизации несеpтифициpованных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.
Решение о сертификации принимает руководитель учреждения или специалист по защите информации при предварительном ознакомлении с объектом.
В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.
4) По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.
Методики, состав комиссии, использование контрольной аппаратуры и тестовых средств определяются специалистом органа аттестации, согласовываются с руководителем органа аттестации и утверждаются руководителем Учреждения.
5) Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
6) На этапе аттестационных испытаний объекта информатизации:
- осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
- определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;
- проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
- проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
- проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
- оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
Все вышеперечисленные испытания проводятся специалистами органа аттестации.
Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи "Аттестата соответствия" и необходимыми рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя.
К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
Протоколы испытаний подписываются экспертами - членами аттестационной комиссии, проводившими испытания.
7) Заключение и протоколы испытаний подлежат утверждению органом по аттестации."Аттестат соответствия" на объект информатизации, отвечающий требованиям по безопасности информации, выдается органом по аттестации по форме, приведенной в ПРИЛОЖЕНИИ № 17.
"Аттестат соответствия" оформляется и выдается заявителю после утверждения заключения по результатам аттестации.
Регистрация "Аттестатов соответствия" осуществляется по отраслевому или территориальному признакам органами по аттестации с целью ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по контролю и надзору.
"Аттестат соответствия" выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.
Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 |
