Инструкция по парольной защите в медицинской информационной системе

«Наименование ЛПУ»



Термины и определения

Информационная система (ИС) - взаимосвязанная совокупность программного, аппаратного и организационного обеспечения, предназначенная для автоматической и/или автоматизированной обработки информации с целью выполнения рабочих процессов или их частей, а также предоставления информации конечным пользователям.

Пароль - идентификатор субъекта доступа, который является его (субъекта) секретом.


Принятые сокращения

АРМ – Автоматизированное рабочее место

ИС – Информационная система

ПО – Программное обеспечение

СЗИ – Средства защиты информации

СМНИ – Съемный магнитный носитель информации

ИВИ – информационно-вычислительная инфраструктура


Общие положения Настоящая «Инструкция по парольной защите в медицинской информационной системе «Наименование ЛПУ» определяет порядок использования, генерации, смены и прекращения действия паролей и личных идентификаторов пользователей в «Наименование ЛПУ» (далее - ГБУЗ), а также контроль действий пользователей при работе с паролями. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей, а также контроль действий пользователей при работе с паролями возлагается на администратора по обеспечению безопасности. Настоящая Инструкция является обязательной для исполнения всеми сотрудниками ГБУЗ, включая пользователей сторонних организаций и агентов, использующих в работе средства электронно-вычислительной техники ГБУЗ. В отношении любого сотрудника, допустившего нарушения требований настоящей Инструкции, могут быть применены дисциплинарные меры наказания.
Требования к формированию пароля Пароли для всех учетных записей пользователей ГБУЗ должны выбираться с учетом следующих требований:
    длиной пароля должна быть не менее 6 буквенно-цифровых символов; пароль не должен включать в себя легко вычисляемые (угадываемые) сочетания символов (имена, фамилии, отчества, наименования организации и т. д.), а также общепринятые сокращения (USER, ADM, ADMIN, PASSWORD и т. п.); максимальный срок действия пароля - не более 90 дней; новый пароль не должен повторять старый; при вводе пароля должен иметь значение регистр; в состав пароля должна входить минимум одна цифра и одна буква; количество попыток неправильного ввода пароля не должно превышать 5 раз, в этом случае должна происходить блокировка учетной записи пользователя, до момента снятия блокировки администратором по обеспечению безопасности ГБУЗ.
Администратор по обеспечению безопасности ГБУЗ должен обеспечить пользователям возможность самостоятельного формирования паролей.
Требования к использованию пароля При использовании пароля необходимо соблюдать следующие требования:
    при первой авторизации в системе пользователь самостоятельно должен изменить личный пароль; по истечении 90 дней со дня последней смены пароль пользователя должен быть изменен; при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях; повторное использование одного и того же пароля пользователем допускается по истечении 365 дней.

Требования к защите пароля Пользователи ГБУЗ обязаны хранить свой личный пароль втайне от других и не передавать любым способом пароль третьим лицам. Запрещается записывать и хранить пароль в форме визуального представления. В случае утери пароля, пользователь ГБУЗ должен немедленно доложить об этом администратору по обеспечению безопасности. В случае прекращения полномочий учетной записи пользователя ИСПДН (увольнение, переход на другую работу, в другой отдел или помещение, а также другие обстоятельства) учетная запись должна быть удалена, а её идентификатор должен быть сдан администратору по обеспечению безопасности ИСПДН после окончания последнего сеанса работы данного пользователя в ИСПДН. В случае компрометации личного пароля или утери личного идентификатора пользователя администратором по обеспечению безопасности ИСПДН должны быть немедленно предприняты меры в соответствии Инструкцией администратора по обеспечению безопасности ИСПДН. Внеплановая полная смена паролей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри отдела и другие обстоятельства) администраторов по обеспечению безопасности ИСПДН и других сотрудников, которым по роду деятельности могли быть известны пароли других пользователей системы Администратор по обеспечению безопасности ИСПДН должен провести служебное расследование для выяснения причин компрометации пароля с целью выработки новых или совершенствования принятых технических и организационных мер по устранению такой угрозы в будущем, а также выяснению величины ущерба, который может быть нанесен в результате компрометации пароля. Пользователи ИСПДН должны быть ознакомлены под роспись с требованиями настоящей Инструкции.
Ответственность

       Все пользователи  ГБУЗнесут ответственность за соблюдение требований настоящей Инструкции.

НЕ нашли? Не то? Что вы ищете?

Утверждено приказом № _____ от «___» ______ 201__ года

Инструкция о порядке обращения с носителями конфиденциальной информации


1.        Общие положения

1.1.        Настоящая «Инструкция о порядке обращения с носителями конфиденциальной информации» (далее – Инструкция) определяет условия использования работниками«Наименование ЛПУ»(далее – ГБУЗ) защищаемых носителей информации.

1.2.        Цель настоящей Инструкции заключается в доведении до всех работников правил использования защищаемых носителей информации и достижения эффективного использования защищаемых носителей информации.

1.3.        Все защищаемые носители конфиденциальной информации делятся на съемные машинные носители информации (далее – СМНИ) и накопители на жёстких магнитных дисках (НЖМД).

1.4.        СМНИ являются средством передачи и хранения различной информации в электронном виде. Нарушения правил использования СМНИ приводят к утечке информации ограниченного доступа, нарушению функционирования телекоммуникационных систем, утрате и искажению информации, что может нанести ущерб ГБУЗ. Наиболее часто встречаются СМНИ в виде USB-флеш накопителей, CD (DVD)-R или CD-RW дисков, различных типов карт флеш памяти, мультимедийных устройств, сотовых телефонов (смартфонов коммуникаторов), внешних жестких дисков, цифровых фотоаппаратов и видеокамер.

1.5.        Требования настоящей Инструкции обязательны для всех работников ГБУЗ.

1.6.        Настоящая Инструкция распространяется на любые устройства независимо от интерфейсов подключения, способные подключаться к телекоммуникационному оборудованию, компьютерам, иным служебным техническим средствам и использоваться в качестве СМНИ.

1.7.        Настоящая Инструкция не распространяется на СМНИ, предназначенные для записи и хранения сведений, составляющих государственную тайну.

1.8.        Все СМНИ, используемые в ГБУЗ делятся на служебные и личные.

1.9.        СМНИ регистрируются в Журнале учёта машинных носителей информации, предназначенных для хранения конфиденциальной информации в структурном подразделении, использующем этот СМНИ.

1.10.        НЖМД регистрируются в Техническом паспорте на информационную систему персональных данных.

2.        Порядок подключения СМНИ

2.1.        Использование СМНИ осуществляется только при наличии служебной необходимости в порядке, определенном настоящей Инструкцией или иными документами ГБУЗ.

2.2.        Для работы со СМНИ, содержащими конфиденциальную информацию и персональные данные, должны использоваться автоматизированные рабочие места (АРМ), в том числе и портативные компьютеры, оборудованные программным обеспечением, предназначенным для контроля внешних носителей.

2.3.        Все АРМ, на которых используются СМНИ, должны быть предварительно оснащены лицензионным антивирусным программным обеспечением с организацией обязательного оперативного обновления антивирусных баз.

3.        Порядок использования СМНИ

3.1.        СМНИ используются работниками ГБУЗ для обеспечения производственной деятельности. Доступ к СМНИ должен производится только с АРМ, к которому СМНИ подключен в данный момент.

3.2.        Информация, сохраненная на СМНИ с рабочих мест ГБУЗ, не является частной собственностью работника, а составляет часть внутреннего документооборота ГБУЗ.

3.3.        СМНИ не гарантируют 100% сохранность информации, соответственно, запрещается хранение информации только на СМНИ без мер резервирования.

3.4.        Информация ограниченного доступа должна храниться только на служебных СМНИ.

3.5.        При использовании СМНИ категорически запрещается:

•        умышленно заносить в ИСПДн ГБУЗ вирусы или любые вредоносные программы, а также умышленно распространять их за пределы ИСПДн ГБУЗ;

•        подключать служебные СМНИ к домашним компьютерам, если данные СМНИ содержат информацию ограниченного доступа;

•        использовать не зарегистрированные СМНИ;

•        хранить на личных СМНИ документы и сведения, относящиеся к информации ограниченного доступа согласно действующему законодательству;

•        несанкционированное использование любых средств и способов, позволяющих скрывать содержание информации, хранимой на СМНИ.

3.6.        При работе со СМНИ работники ГБУЗ обязаны:

•        не допускать повреждений СМНИ при хранении и эксплуатации;

•        не запускать программное обеспечение, хранящееся на СМНИ;

•        создавать копии информации, хранимой на служебных СМНИ;

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19