6.8 Пользователи ИСПДн
В
Концепции информационной безопасности определены основные категории пользователей. На основании этих категории должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности.
В ИСПДн ГОБУЗ «НОКБ» можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:
Администратора ИСПДн;
Администратора безопасности;
Оператора АРМ;
Администратора сети;
Технического специалиста по обслуживанию периферийного оборудования;
Программист-разработчик ИСПДн.
Данные о группах пользователях, уровне их доступа и информированности должен быть отражен в
Положение о разграничении прав доступа к обрабатываемым персональным данным.
6.9 Администратор ИСПДн
Администратор ИСПДн, сотрудник ГОБУЗ «НОКБ», ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора АРМ) к элементам хранящим персональные данные.
Администратор ИСПДн обладает следующим уровнем доступа и знаний:
обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
обладает полной информацией о технических средствах и конфигурации ИСПДн;
имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
обладает правами конфигурирования и административной настройки технических средств ИСПДн.
6.10 Администратор безопасности
Администратор безопасности, сотрудник ГОБУЗ «НОКБ», ответственный за функционирование СЗПДн, включая обслуживание и настройку административной, серверной и клиентской компонент.
Администратор безопасности обладает следующим уровнем доступа и знаний:
обладает правами Администратора ИСПДн;
обладает полной информацией об ИСПДн;
имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
Администратор безопасности уполномочен:
реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор АРМ) получает возможность работать с элементами ИСПДн;
осуществлять аудит средств защиты;
устанавливать доверительные отношения своей защищенной сети с сетями других Учреждений.
6.11 Оператор АРМ
Оператор АРМ, сотрудник ГОБУЗ «НОКБ», осуществляющий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчетов по информации, полученной из ИСПД. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПДн.
Оператор ИСПДн обладает следующим уровнем доступа и знаний:
обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
располагает конфиденциальными данными, к которым имеет доступ.
6.12 Администратор сети
Администратор сети, сотрудник ГОБУЗ «НОКБ», ответственный за функционирование телекоммуникационной подсистемы ИСПДн. Администратор сети не имеет полномочий для управления подсистемами обработки данных и безопасности.
Администратор сети обладает следующим уровнем доступа и знаний:
обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
обладает частью информации о технических средствах и конфигурации ИСПДн;
имеет физический доступ к техническим средствам обработки информации и средствам защиты;
знает, по меньшей мере, одно легальное имя доступа.
6.13 Технический специалист по обслуживанию
периферийного оборудования
Технический специалист по обслуживанию, сотрудник ГОБУЗ «НОКБ», осуществляет обслуживание и настройку периферийного оборудования ИСПДн. Технический специалист по обслуживанию не имеет доступа к ПДн, не имеет полномочий для управления подсистемами обработки данных и безопасности.
Технический специалист по обслуживанию обладает следующим уровнем доступа и знаний:
обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
обладает частью информации о технических средствах и конфигурации ИСПДн;
знает, по меньшей мере, одно легальное имя доступа.
6.14 Программист-разработчик ИСПДн
Программисты-разработчики (поставщики) прикладного программного обеспечения, обеспечивающие его сопровождение на защищаемом объекте. К данной группе могут относиться как сотрудники ГОБУЗ «НОКБ», так и сотрудники сторонних организаций.
Лицо этой категории:
обладает информацией об алгоритмах и программах обработки информации на ИСПДн;
может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.
7 Требования к персоналу по обеспечению защиты ПДн
Все сотрудники ГОБУЗ «НОКБ», являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.
Сотрудники ГОБУЗ «НОКБ», использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
Сотрудники ГОБУЗ «НОКБ» должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и
использовании паролей (если не используются технические средства аутентификации).
Сотрудники ГОБУЗ «НОКБ» должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами ГОБУЗ «НОКБ», третьим лицам.
При работе с ПДн в ИСПДн сотрудники ГОБУЗ «НОКБ» обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.
При завершении работы с ИСПДн сотрудники обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.
Сотрудники ГОБУЗ «НОКБ» должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.
Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.
8 Должностные обязанности пользователей ИСПДн
Должностные обязанности пользователей ИСПДн описаны в следующих документах:
Инструкция администратора ИСПДн;
Инструкция администратора безопасности ИСПДн;
Инструкция пользователя ИСПДн;
Инструкция пользователя при возникновении внештатных ситуаций.
9 Ответственность сотрудников ИСПДн ГОБУЗ «НОКБ»
В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272,273 и 274 УК РФ).
Администратор ИСПДн и администратор безопасности несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
При нарушениях пользователями ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.
Приведенные выше требования нормативных документов по защите информации должны быть отражены в Положениях о подразделениях ГОБУЗ «НОКБ», осуществляющих обработку ПДн в ИСПДн и должностных инструкциях сотрудников ГОБУЗ «НОКБ».
Необходимо внести в Положения о подразделениях ГОБУЗ «НОКБ», осуществляющих обработку ПДн в ИСПДн сведения об ответственности их руководителей и сотрудников за разглашение и несанкционированную модификацию (искажение, фальсификацию) ПДн, а также за неправомерное вмешательство в процессы их автоматизированной обработки.
10 Список использованных источников
Основными нормативно-правовыми и методическими документами, на которых базируется настоящее Положение являются:
Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных», устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн.
«Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства РФ от 17.11.2007 г. № 781.
«Порядок проведения классификации информационных систем персональных данных», утвержденный совместным Приказом ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи РФ № 20 от 13.02.2008 г.
«Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 г. № 687.
«Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утвержденные Постановлением Правительства РФ от 06.07.2008 г. № 512.
Нормативно-методические документы Федеральной службы по техническому и экспертному контролю Российской Федерации (далее - ФСТЭК России) по обеспечению безопасности ПДн при их обработке в ИСПДн:
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
-
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
Документ разработал:
инженер-программист Лаврентьева Т.Е
Министерство здравоохранения
Российской Федерации
ГОБУЗ «Новгородская областная клиническая больница»
|
|
|
|
УТВЕРЖДАЮ
Главный врач ГОБУЗ «НОКБ»
Хорошевская А.И.
_______________________
«____» ___________2013 г.
|
|
|
ПОЛИТИКА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
информационных систем персональных данных
ГОБУЗ «НОКБ»
|
СОГЛАСОВАНО
|
Заместитель главного врача по технике
|
________________
подпись, дата
|
Аршба Ю.П.
|
г. Великий Новгород
2013
|
