Психиатрическое обследование для права управления транспортным средством  Психиатрическое освидетельствование на допуск к работе  Работа с юридическими лицами

Политика информационной безопасности

 

Приложение 2

к Приказу БУЗ ВО «ВОПБ»

от 30.12.2014 г. № 294- ПР

ПОЛИТИКА

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

информационных систем персональных данных
бюджетного учреждения здравоохранения Вологодской области

 «Вологодская областная психиатрическая больница»

 

Введение

Настоящая Политика информационной безопасности (далее – Политика) бюджетного учреждения здравоохранения Вологодской области «Вологодская областная психиатрическая больница» (Далее – Учреждения), разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных изложенных в Концепции информационной безопасности ИСПДн Учреждения, на основании норм:

- Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (с последующими изменениями);

- Постановления Правительства Российской Федерации от 1 ноября 2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Приказа ФСТЭК России №21 от 18.02.2013 г. “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”,

а также с учетом методических рекомендаций Министерства здравоохранения РФ.

Политика раскрывает:

- принципы, порядок и условия обработки персональных данных граждан Российской Федерации – пациентов, работников и контрагентов Учреждения; структуру системы защиты персональных данных (СЗПДн);

- требования к персоналу ИСПДн, степень ответственности персонала,

- обязанности работников, ответственных за обеспечение безопасности персональных данных в ИСПДн;

- состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных.

1. Общие положения

Целью настоящей Политики является защита прав и свобод человека и гражданина, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну, при обработке его персональных данных в ИСПДн Учреждения за счет минимизации рисков реализации угроз безопасности ПДн (УБПДн).

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и незаконное распространение персональных данных.

Защищаемая информация и связанные с ней ресурсы доступны только для легальных (авторизованных) пользователей ИСПДн. В Учреждении осуществляется своевременное обнаружение и реагирование на УБПДн, а также предотвращение преднамеренной или случайной несанкционированной модификации или уничтожения данных.

Состав объектов защиты представлен в Перечне персональных данных, подлежащих защите.

Состав защищаемых ИСПДн представлен в Аналитическом отчете о проведении обследования ИСПДн.

Требования настоящей Политики обязательны для выполнения всеми работниками Учреждения, а также иными лицами, получившими доступ к персональным данным, обрабатываемым в Учреждении в рамках договоров (подрядчики и т.п.).

Принципы, порядок и условия обработки персональных данных в Учреждении определены требованиями действующего законодательства РФ:

- о персональных данных и требованиях к их защите;

- об основах охраны здоровья граждан в Российской Федерации;

- о психиатрической помощи и гарантиях прав граждан при ее оказании;

- о бухгалтерском учете;

- Трудовым Кодексом РФ.

2. Система защиты персональных данных

Безопасность персональных данных при их обработке в ИСПДн обеспечивается системой защиты персональных данных (СЗПДн) созданной на основании:

  • Аналитического отчета по проведению обследования ИСПДн;
  • Модели угроз безопасности персональных данных ИСПДн;
  • Перечня персональных данных, подлежащих защите;
  • Акта классификации информационных систем персональных данных;
  • Матрицы доступа к обрабатываемым персональным данным;
  • Руководящих документов ФСТЭК и ФСБ России.

На основании этих документов сделано заключение о необходимости использования технических средств и проведения организационных мероприятий для обеспечения безопасности ПДн. Перечень необходимых мероприятий отражается в Плане мероприятий по обеспечению защиты ПДн.

Для каждой ИСПДн составлен список используемых технических средств защиты, а также программного обеспечения, участвующего в обработке ПДн, на всех элементах ИСПДн:

  • АРМ пользователей;
  • Сервера приложений;
  • СУБД;
  • Границы ЛВС;
  • Каналов передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.

В зависимости от уровня (класса) защищенности ИСПДн и актуальных угроз, СЗПДн включает следующие технические средства:

  • антивирусные средства для рабочих станций пользователей и серверов;
  • средства межсетевого экранирования;
  • средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.

Также в составе СЗПДн учтены функции защиты, обеспечиваемые штатными средствами обработки ПДн: операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:

  • управление и разграничение доступа пользователей;
  • регистрацию и учет действий с информацией;
  • контроль целостности данных;
  • обнаружение вторжений.

Список используемых технических средств отражен в Плане мероприятий по обеспечению защиты персональных данных. Список используемых средств поддерживается в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения вносятся в список и утверждаются руководителем Учреждения или лицом, ответственным за обеспечение защиты ПДн.

3. Требования к подсистемам СЗПДн

СЗПДн в зависимости от уровня включает в себя следующие подсистемы:

  • управления доступом, регистрации и учета;
  • обеспечения целостности и доступности;
  • антивирусной защиты;
  • межсетевого экранирования;
  • анализа защищенности;
  • обнаружения вторжений;
  • криптографической защиты.

Подсистемы СЗПДн имеют различный функционал в зависимости от уровня (класса) ИСПДн, определенного в Акте классификации информационных систем персональных данных. Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных представлены в Приложении.

Подсистемы управления доступом, регистрации и учета

Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций:

  • идентификации и проверка подлинности субъектов доступа при входе в ИСПДн;
  • идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;
  • идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;
  • регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова.
  • регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
  • регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.

Подсистема управления доступом реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Также может быть внедрено специальное техническое средство или их комплекс осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.

Подсистема обеспечения целостности и доступности

Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн Учреждения, а так же средств защиты, при случайной или преднамеренной модификации.

Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов ИСПДн.

Подсистема антивирусной защиты

Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей ИСПДн Учреждения.

Средства антивирусной защиты предназначены для реализации следующих функций:

  • резидентный антивирусный мониторинг;
  • антивирусное сканирование;
  • скрипт-блокирование;
  • централизованную / удаленную установку / деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;
  • автоматизированное обновление антивирусных баз;
  • ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;
  • автоматический запуск сразу после загрузки операционной системы.

Подсистема реализована путем установки специального антивирусного программного обеспечения на все элементы ИСПДн.

 Подсистема межсетевого экранирования

Подсистема межсетевого экранирования предназначена для реализации следующих функций:

  • фильтрации открытого и зашифрованного (закрытого) IP-трафика по следующим параметрам;
  • фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;
  • идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ;
  • регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова;
  • контроля целостности своей программной и информационной части;
  • фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
  • фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
  • регистрации и учета запрашиваемых сервисов прикладного уровня;
  • блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;
  • контроля за сетевой активностью приложений и обнаружения сетевых атак.

Подсистема реализована внедрением программно-аппаратных комплексов межсетевого экранирования на границе ЛВС, классом не ниже 4.

Подсистема анализа защищенности

Подсистема анализа защищенности обеспечивает выявление уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.

Функционал подсистемы реализован программными и программно-аппаратными средствами.

Подсистема обнаружения вторжений

Подсистема обнаружения вторжений обеспечивает выявление сетевых атак на элементы ИСПДн, подключенные к сетям общего пользования и (или) международного обмена.

Функционал подсистемы реализован программными и программно-аппаратными средствами.

Подсистема криптографической защиты

Подсистема криптографической защиты предназначена для исключения несанкционированного доступа к защищаемой информации при ее передаче по каналам связи сетей общего пользования и (или) международного обмена.

Подсистема реализуется внедрением криптографических программно-аппаратных комплексов.

4. Пользователи ИСПДн

В Концепции информационной безопасности определены основные категории пользователей. На основании этих категорий произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности.

В ИСПДн Учреждения выделенры следующие группы пользователей, участвующих в обработке и хранении ПДн:

  • Администратор ИСПДн;
  • Администратор безопасности;
  • Оператор АРМ;
  • Администратор сети;
  • Технический специалист по обслуживанию периферийного оборудования;
  • Программист-разработчик ИСПДн.
  • Данные о группах пользователей, уровне их доступа и информированности отражен в Матрице доступа к обрабатываемым персональным данным.

Администратор ИСПДн

Администратор ИСПДн, работник Учреждения, ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора АРМ) к элементам хранящим персональные данные.

Администратор ИСПДн обладает следующим уровнем доступа и знаний:

  • обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
  • обладает полной информацией о технических средствах и конфигурации ИСПДн;
  • имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
  • обладает правами конфигурирования и административной настройки технических средств ИСПДн.

Администратор безопасности

Администратор безопасности, работник Учреждения, ответственный за  функционирование СЗПДн, включая обслуживание и настройку административной, серверной и клиентской компонент.

Администратор безопасности обладает следующим уровнем доступа и знаний:

  • обладает правами Администратора ИСПДн;
  • обладает полной информацией об ИСПДн;
  • имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
  • не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

Администратор безопасности уполномочен:

  • реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор АРМ) получает возможность работать с элементами ИСПДн;
  • осуществлять аудит средств защиты;
  • устанавливать доверительные отношения своей защищенной сети с сетями других Учреждений.

Оператор АРМ

Оператор АРМ, работник Учреждения, осуществляющий обработку ПДн.  Обработка ПДн включает: возможность просмотра и изменения ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчетов по информации, полученной из ИСПД. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПДн.

Оператор ИСПДн обладает следующим уровнем доступа и знаний:

  • обладает всеми необходимыми атрибутами (например, логином и паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
  • располагает конфиденциальными данными, к которым имеет доступ.

Администратор сети

Администратор сети, работник Учреждения, ответственный за функционирование телекоммуникационной подсистемы ИСПДн. Администратор сети не имеет полномочий для управления подсистемами обработки данных и безопасности.

Администратор сети обладает следующим уровнем доступа и знаний:

  • обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
  • обладает частью информации о технических средствах и конфигурации ИСПДн;
  • имеет физический доступ к техническим средствам обработки информации и средствам защиты;
  • знает, по меньшей мере, одно легальное имя доступа.

Технический специалист по обслуживанию периферийного оборудования

Технический специалист по обслуживанию периферийного оборудования, работник Учреждения, осуществляет обслуживание и настройку периферийного оборудования ИСПДн. Технический специалист не имеет доступа к ПДн, не имеет полномочий для управления подсистемами обработки данных и безопасности.

Технический специалист по обслуживанию обладает следующим уровнем доступа и знаний:

  • обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
  • обладает частью информации о технических средствах и конфигурации ИСПДн;
  • знает, по меньшей мере, одно легальное имя доступа.

Программист-разработчик ИСПДн

Программисты-разработчики (поставщики) прикладного программного обеспечения, обеспечивающие его сопровождение на защищаемом объекте. К данной группе могут относиться как работники Учреждения, так и работники сторонних организаций (по договору о техническом сопровождении).

Лицо этой категории:

  • обладает информацией об алгоритмах и программах обработки информации на ИСПДн;
  • обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;
  • может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

5. Требования к персоналу по обеспечению защиты ПДн

Все работники Учреждения, являющиеся пользователями ИСПДн, должны знать и строго выполнять установленные правила доступа к персональным данным и соблюдению принятого режима безопасности ПДн.

В отношении действующих и вновь принятых работников подразделения БУЗ ВО «ВОПБ», непосредственный руководитель подразделения организует их ознакомление с необходимыми документами, регламентирующими требования по защите ПДн под роспись а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

Работники Учреждения, использующие технические средства аутентификации, обеспечивают сохранность идентификаторов (электронных паролей, ключей) и не допускают НСД к ним, а также возможности их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранение в тайне паролей.

Работники Учреждения следуют установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).

Работники Учреждения обеспечивают надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи ИСПДн знают и выполняют требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

Работникам запрещено устанавливать на АРМ постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Работникам запрещено разглашать защищаемую информацию, которая стала им известна при работе с информационными системами Учреждения, третьим лицам.

При работе в ИСПДн работники Учреждения обеспечивают отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.

При временном прекращении или завершении работы с ИСПДн работники защищают АРМ или терминалы с помощью блокировки паролем, если не используются более сильные средства защиты.

Работники Учреждения проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на работников, которые нарушили принятые политику и процедуры безопасности ПДн.

Работники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

Права и обязанности пользователей ИСПДн описаны в следующих документах:

Инструкция администратора ИСПДн;

Инструкция администратора безопасности ИСПДн;

Инструкция пользователя ИСПДн;

Инструкция пользователя при возникновении внештатных ситуаций.

6. Ответственность пользователей ИСПДн Учреждения

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, привлекаются к дисциплинарной и материальной ответственности в соответствии Трудовым кодексом РФ, Федеральным законом "О персональных данных", и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Администратор ИСПДн и администратор безопасности несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей пользователей, если не доказан факт несанкционированного использования учетных записей.

Изменения в законодательстве

Федеральным законом от 7 февраля 2017 г. N 13-ФЗ с 1 июля 2017 года внесены изменения в статью № 13.11. КОАП РФ, увеличивающие размеры административных штрафов за нарушения законодательства Российской Федерации в области персональных данных. До указанной даты максимальный штраф составлял 10 тысяч рублей и мог быть предъявлен только на основании решения органов прокуратуры. Сейчас максимальный штраф составляет 75 тысяч рублей и будет накладываться непосредственно органами Роскомнадзора, уполномоченными на проведение контрольных мероприятий в сфере обработки персональных данных.

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ информационных систем персональных данных бюджетного учреждения здравоохранения Вологодской области «Вологодская областная психиатрическая больница»