УТВЕРЖДАЮ
|
Главный врач БУЗВО ВОККВД
|
|
______________ А.Л. Поздняков
|
«12» января 2015 г.
|
|
ПОЛОЖЕНИЕ
о порядке организации и проведения работ по
защите информации ограниченного доступа в ИСПДн
БУЗВО «Воронежский областной клинический кожно-венерологический диспансер»
|
|
Воронеж 2015
СОДЕРЖАНИЕ
Общие положения 3
Назначение документа 3
Правовые основания 3
Область действия 3
Мероприятия проводимые для защиты информации 4
Пересмотр документа 4
Система защиты информации 5
Лица, участвующие в обработке и защите информации ограниченного доступа в ИСПДн 7
Документы, регламентирующие порядок обработки и защиты информации ограниченного доступа в ИСПДн 8
Ответственность за нарушение порядка обработки и защиты информации ограниченного доступа 9
-
Общие положения
-
Назначение документа
Настоящее Положение о порядке организации и проведения работ по защите информации ограниченного доступа в ИСПДн БУЗВО «Воронежский областной клинический кожно-венерологический диспансер» (далее – БУЗВО ВОККВД) устанавливает порядок проведения мероприятий по защите информации ограниченного доступа, в том числе по обеспечению безопасности персональных данных в ИСПДн.
-
Правовые основания
Настоящее положение о порядке организации и проведения работ по защите информации ограниченного доступа в БУЗВО ВОККВД (далее - Положение) разработано на основании следующих нормативных правовых и методических документов:
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Постановление Правительства Российской Федерации от 1 ноября 2012 г. Ха 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
-
Область действия
Действие настоящего Положения распространяется на все процессы обработки и защиты информации ограниченного доступа в БУЗВО ВОККВД.
1.3.2. Настоящее Положение обязательно для соблюдения руководителем учреждения, заместителями руководителя учреждения, заведующими отделениями, начальниками подразделений, отделений, отделов, а так же всеми работниками этих подразделений, отделений, отделов в БУЗВО ВОККВД, осуществляющих обработку информации ограниченного доступа (в том числе персональных данных) в ИСПДн.
-
Мероприятия, проводимые для защиты информации
Для защиты информации, содержащейся в ИСПДн, проводятся следующие мероприятия:
формирование требований к защите информации, содержащейся в ИСПДн;
разработка системы защиты информации ИСПДн;
внедрение системы защиты информации ИСПДн;
аттестация ИСПДн по требованиям защиты информации и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатаций аттестованной ИСПДн;
обеспечение защиты информации при выводе из эксплуатации аттестованной ИСПДн или после принятия решения об окончании обработки информации.
1.5. Пересмотр документа
1.5.1 Пересмотр настоящего Положения должен осуществляться в следующих случаях, но не реже одного раза в три года:
в случае изменения процессов обработки и защиты информации ограниченного доступа в ИСПДн;
при выявлении новых угроз безопасности информации и определении необходимости реализации дополнительных защитных мер;
при изменении действующих нормативных правовых актов в области защиты информации ограниченного доступа.
2. Система защиты информации
2.1 Обеспечение защиты информации ограниченного доступа (в том числе персональных данных) при ее обработке в ИСПДн реализуется с помощью системы защиты информации ИСПДн (далее - СЗИ).
Задачами, решаемыми СЗИ, являются:
предотвращение неправомерного доступа, копирования, предоставления или распространения информации ограниченного доступа, обрабатываемой в ИСПДн (обеспечение конфиденциальности информации);
2.3 Объектами защиты в ИСПДн являются:
- информация ограниченного доступа, содержащаяся в информационной системе;
- рабочая станция;
- машинные носители информации;
- системы связи и передачи данных;
- общесистемное, прикладное, специальное программное обеспечение;
- средства защиты информации.
2.4 В рамках СЗИ реализуются организационно-технические меры по защите информации от несанкционированного доступа и других неправомерных воздействий:
- идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
- управление доступом субъектов доступа к объектам доступа (УПД);
- ограничение программной среды (ОПС);
- защита машинных носителей информации (ЗНИ);
- регистрация событий безопасности (РСБ);
- антивирусная защита (АВЗ);
- обнаружение вторжений (СОВ);
- контроль (анализ) защищенности информации (АНЗ);
- обеспечение целостности информационной системы и информации (ОЦЛ);
- обеспечение доступности информации (ОДТ);
- защита технических средств (ЗТС);
- защита информационной системы, ее средств, систем связи и передачи данных (ЗИС);
- выявление инцидентов и реагирование на них (ИНЦ);
- управление конфигурацией информационной системы и системы защиты информации (УКФ).
2.5 Для обеспечения защиты информации, содержащейся в ИСПДн, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
2.6 В рамках СЗИ осуществляется контроль состояния и качества предоставления провайдером телекоммуникационных услуг:
- включение в договора (соглашение) с провайдером условий, прав, обязанностей, содержания и порядка контроля качества предоставляемых услуг на передачу информации с использованием информационно-телекоммуникационных сетей связи;
- мониторинг состояния и качества предоставления уполномоченным лицом (провайдером) услуг по передаче информации.
3 Лица, участвующие в обработке и защите информации ограниченного доступа в ИСПДн
3.1 В учреждении определен следующий перечень лиц, участвующих в обработке и защите информации ограниченного доступа в ИСПДн, и степень их участия:
- Ответственный за организацию обработки персональных данных - работник учреждения, осуществляющий внутренний контроль за соблюдением требований законодательства РФ при обработке персональных данных в учреждении;
- Администратор информационной безопасности (ответственный за обеспечение безопасности персональных данных) - работник учреждения, являющийся лицом, ответственным за защиту информации ограниченного доступа, осуществляющий контроль и выполнение требований по информационной безопасности ИСПДн и обеспечивающий функционирование системы защиты информации ИСПДн;
- Пользователь - работник учреждения, непосредственно осуществляющий обработку информации ограниченного доступа в ИСПДн.
3.2 Лица, участвующие в обработке и защите информации ограниченного доступа в ИСПДн, в своей деятельности руководствуются настоящим Положением, а также документами, указанными в таблице 1.
4 Документы, регламентирующие порядок обработки и защиты информации ограниченного доступа в ИСПДн
4.1 С целью регламентации процессов обработки и защиты информации ограниченного доступа в ИСПДн в Учреждении приняты локальные акты в области защиты информации. Перечень локальных актов Учреждения, регламентирующих порядок обработки и защиты информации ограниченного доступа в ИСПДн, приведен в таблице 1.
Таблица 1 — Перечень документов, регламентирующих порядок обработки и защиты информации ограниченного доступа в ИСПДн
№
п/п
|
Наименование документа
|
Описание документа
|
1.
|
Модель угроз и модель нарушителя безопасности информации
|
В документе определяются актуальные угрозы безопасности информации ИСПДн и рассматриваются категории нарушителей
|
2.
|
Положение о порядке хранения и уничтожения носителей информации
|
Документ определяет порядок хранения и уничтожения носителей информации ограниченного доступа в Учреждении
|
3.
|
Инструкция администратора
информационной
безопасности
|
Документ устанавливает функции, права и обязанности администратора информационной безопасности ИСПДн
|
4.
|
Инструкция пользователя системы защиты информации
|
Документ устанавливает функции, права и обязанности пользователя системы защиты информации ИСПДн
|
5..
|
Порядок резервного копирования информации
|
Документ устанавливает порядок резервного копирования в ИСПДн
|
6.
|
Инструкция по антивирусной защите
|
Документ устанавливает регламент применения средств антивирусной защиты в Учреждении
|
7.
|
Инструкция по парольной защите
|
Документ устанавливает регламент генерации, использования и смены паролей в Учреждении
|
8.
|
Инструкция о порядке обращения с носителями информации ограниченного доступа
|
Документ определяет порядок обращения с бумажными и машинными носителями информации ограниченного доступа
|
9.
|
Инструкция по обращению со средствами
криптографической защиты информации, предназначенными для защиты информации ограниченного доступа
|
Документ определяет порядок использования средств криптографической защиты информации в составе системы защиты информации ИСПДн
|
10.
|
Матрица доступа к разделяемым
информационным ресурсам
|
Документ определяет права доступа категорий пользователей к разделяемым информационным ресурсам
|
5 Ответственность за нарушение порядка обработки и защиты информации ограниченного доступа
5.5.1 Виды дисциплинарных взысканий, порядок их применения и снятия установлены главой 30 ТК РФ и Правилами внутреннего трудового распорядка Учреждения.
5.5.2 Согласно статье 24 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении норм, регулирующих обработку ПДн, несут дисциплинарную, административную, гражданскую, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.
5.5.3 К административной ответственности за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах и за нарушение правил защиты информации могут привлекаться как само учреждение и его должностные лица, так и конкретные работники, исполняющие соответствующие трудовые функции.
5.5.4 Лица, виновные в нарушении правил обработки или защиты информации ограниченного доступа, могут привлекаться к административной ответственности по следующим основаниям:
- неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих его права и свободы, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП);
- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП);
- нарушение правил защиты информации (ст. 13.12 КоАП);
- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).
5.5.5 Уголовная ответственность за нарушение правил обработки информации ограниченного доступа может наступить в следующих случаях:
- неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию, либо копирование, распространение компьютерной информации (ст. 272 УК РФ);
- создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации (ст. 273 УК РФ);
- нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб или повлекшее тяжкие последствия (ст.274 УК РФ).
- незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан (ст. 137 УК РФ);
- неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ).
С данным Положением ознакомлены руководители следующих подразделений:
Заместители главного врача:
Пышков С.Е.
Жукова И.В.
Тулинова И.А.
Заведующие отделениями:
Лепешкин И.И.
Пожидаева Е.Е.
Долгих В.С.
Ююкин С.В.
Голев А.А.
Новокщенова Е.М.
Кретинина Г.П.
Зимакова Е.В.
Прочий персонал:
Ускова Н.И.
Трегубова С.В.
Бобров В.А.
Зоценко О.В.
Комзарева Н.А.
Распопова Е.П.
Фурсов А.В.
Новиков Ю.В.
|
