• О диспансере
  • Главный врач
  • ?стория
  • Структура
  • Специалисты
  • Контакты
  • Клинико-диагностическая лаборатория
  • Консультативно-диагностическое отделение
  • Стационарное отделение
• Услуги
  • График приема специалистов
  • Платные услуги
  • Правила госпитализации в стационар ГУЗ ОККВД
  • Стандарты медицинской помощи
• Справочник болезней
• Консультация
• Нормативно-правовые документы
  • Приказы
  • Политика безопасности персональных данных
  • Законы
  • Письма
  • 2016 - Год здравоохранения
  • Политика в отношении обработки персональных данных по учреждению
  • Распоряжение Правительства Ульяновской области № 354-пр от 30 июня 2016г. "О Стандарте социальной ответственности работодателей Ульяновской области"
  • Положение о постоянно действующем трудовом арбитраже
• Отзывы

Правила записи
на первичный
прием/консультацию/обследование

Ссылки

• Министерство здравоохранения Ульяновской области
• Правительство Ульяновской области
• Министерство здравоохранения Российской Федерации
• Здоровое население
• 

Политика безопасности персональных данных, обрабатываемых в информационных системах персональных данных

ГУЗ ?Областной клинический кожно-венерологический диспансер?

Перечень принятых сокращений и обозначений

Далее по тексту приняты следующие обозначения и сокращения:

АС - автоматизированная система:

З? - защита информации;

ЛВС - локальная вычислительная сеть:

НСД - несанкционированный доступ к информации;

ОС - операционная система:

П?Б - политика информационной безопасности;

ПДн - персональные данные:

?СПДн - информационная система персональных данных;

ПО - программное обеспечение:

СВТ - средства вычислительной техники;

СЗ? НСД - система защиты от НСД к информации:

СКЗ? - средство криптографической защиты информации.

ВВЕДЕН?Е

1. Назначение политики безопасности

Данный документ определяет требования по защите персональных данных, обрабатываемых на автоматизированных рабочих местах и серверах информационных систем персональных данных ГУЗ ?Областной клинический кожно-венерологический диспансер? (далее ОРГАН?ЗАЦ?Я).

2. Целевая аудитория

Политика безопасности обязательная для следующих сотрудников ОРГАН?ЗАЦ??:

- пользователей сети, выполняющие свои служебные обязанности, связанные с обработкой персональных данных (далее ПДн), на автоматизированных рабочих местах;

- системных администраторов, ответственных за эксплуатацию и сопровождение информационных систем обработки персональных данных (?СПДн), а также за информационную безопасность информационных систем;

3. Полномочия

Директор совместно с лицами, ответственными за информационную безопасность в организации, уполномочен создать, внедрить и поддерживать данную политику в соответствии с требованиями федерального законодательства.

Группа системных администраторов несет ответственность за внедрение данной политики, мониторинг соответствия политике безопасности и реагирование на нарушения политики безопасности.

Служба по работе с персоналом несет ответственность за доведение данной политики до каждого сотрудника.

Сотрудники несут персональную ответственность за выполнение данной политики.

4. Срок действия

С 1 июля 2011г. по 31 декабря 2011г. В случае отсутствия приказов Главного врача по прекращению действия настоящей политики или ее замене срок действия пролонгируется автоматически.

5. ?сключения

Все отклонения от выполнения данной политики безопасности утверждаются Генеральным директором с отчетом о последствиях (согласием) группы системных администраторов.

6. Поддержка

По всем вопросам, связанным с политикой безопасности, необходимо обращаться в группу администраторов ?СПДн.

7. Пересмотр и обновление

Группа администраторов ?СПДн несет ответственность за пересмотр (обновление) политики безопасности в связи с изменением федерального законодательства или целями и задачами бизнеса.

Политика безопасности пересматривается по мере необходимости.

1. ЗАЩ?ТА ОТ НЕСАНКЦ?ОН?РОВАННОГО ДОСТУПА

1.1. Учетные записи

Перечень учетных записей и прав этих записей в отношении ПДн, ?СПДн и средств защиты ?СПДн вводятся Порядком доступа сотрудников ГУЗ ?Областной клинический кожно-венерологический диспансер? к информационным системам обработки персональных данных и программно-аппаратным средствам их защиты. В соответствии с данным документом вводятся следующие типы учетных записей:

• Руководитель организации, имеющий доступ к ПДн всех ?СПДн (пользователь ?СПДн) и использующий при этом соответствующие средства защиты информации (СЗ?).

• Руководитель структурного подразделения (пользователь ?СПДн), имеющий доступ к ПДн, обрабатываемым в рамках вверенного ему подразделения, и использующий при этом соответствующие средства защиты информации

• Сотрудник структурного подразделения (пользователь ?СПДн), имеющий доступ к ПДн, обрабатываемым в рамках его должностных обязанностей, и использующий при этом соответствующие средства защиты информации

• Администратор ?СПДн, выполняющий настройку и конфигурирование ?СПДн и имеющий в связи с этим к ПДн.

• Администратор СЗ? ?СПДн, выполняющий настройку и конфигурирование СЗ? ?СПДн.

• Администратор КСЗ? ?СПДн, выполняющий настройку и конфигурирование криптографических СЗ? ?СПДн и ответственный за хранение и использование криптографических ключей.

• Администратор антивирусных СЗ? ?СПДн, выполняющий настройку и конфигурирование антивирусных средств защиты ?СПДн.

• Администратор межсетевого экрана, выполняющий настройку и конфигурирование межсетевого экрана организации

• Администратор СЗ? ?СПДн от несанкционированного доступа, выполняющий настройку и конфигурирование СЗ? от НСД.

Учетная запись Администратора ?СПДн обладает правами локального администратора Windows. Допускается совмещение прав учетных записей. Права и обязанности пользователей и администраторов перечислены в соответствующих должностных инструкциях.

1.2. ?дентификация и аутентификация

?дентификация и аутентификация в ?СПДн осуществляются на основе двухфакторной аутентификации (парольной и с использованием USB ключа) с использованием СЗ? от НСД идентификатор ruToken в соответствии с должностными инструкциями Пользователя и Администратора СЗ? ?СПДн НСД и инструкции по использованию идентификатора ruToken.

1.3. Парольная политика

Пароль должен содержать не менее 6 символов, состоящих из букв разных регистров, цифр и спецсимволов. Пароли должны меняться не реже чем раз в 3 месяца. Хранение пароля на открытом носителе не допускается. Более подробная информация о парольной политике, касающаяся обработки ПДн, представлена в Положении Организации по обработке ПДн.

1.4. Каталоги и файлы

Пользователям разрешен доступ ко всем каталогам и файлам используемых ими ?СПДн, кроме системных.

Администраторам разрешен доступ ко всем файлам и каталогам.

1.5. ?нциденты

Все возможные инциденты и порядок действий для их разрешения описаны в соответствующих должностных инструкциях Пользователей и Администраторов.

2. ?СПОЛЬЗОВАН?Е НОС?ТЕЛЕЙ ?НФОРМАЦ??

2.1. Носители информации

К использованию разрешены следующие носители информации:

• Флеш-карты

• CD и DVD диски

• Дискеты.

Все носители, содержащие ПДн, должны быть зарегистрированы в журнале учета съемных носителей информации.

Носители разрешается использовать только в служебных целях, использование носителей в личных целях, для переноса музыки, фильмов и т.п. не допускается.

2.2. Хранение

Все носители, содержащие ПДн, должны хранится в сейфе организации. Хранение носителей вне организации не допускается.

2.3. Подключение

При подключении съемного носителя информации в соответствии должностной инструкцией пользователя антивирусных СЗ? необходимо проверить его на наличие вирусов с помощью антивирусного ПО.

2.4. Уничтожение

Носители информации, содержащие ПДн, уничтожаются в присутствии специальной комиссии, отчет об уничтожении заносится в соответствующий акт.

2.5. ?нциденты

Возможные инциденты и описание процедур реагирования на них описаны в должностных инструкциях Администратора ?СПДн и Администратора СЗ? ?СПДн.

3. РЕЗЕРВНОЕ КОП?РОВАН?Е

3.1. Носители информации

В качестве носителей информации для резервного копирования данных, содержащих ПДн, в организации используются компакт-диски формата DVD-R. Порядок учета, хранения и уничтожения определяются п. 2. настоящей Политики. Ответственность за резервное копирование несет Администратор ?СПДн.

3.2. Каталоги и файлы

Резервному копированию подлежат каталоги и файлы, содержащие исполняемые файлы ?СПДн, базы данных ?СПДн и конфигурационную информацию СЗ? ?СПДн.

3.3. Приложения

Основными приложениями, использующимися для резервного копирования, являются программы WinZip (стандартная утилита операционной системы для архивирования данных) и explorer (в части переноса данных на компакт-диски)

3.4. Периодичность

Указанные в п.3.2. файлы и папки резервируются с периодичностью один раз в неделю.

3.5. ?нциденты

В случае потери целостности файлов или папок, указанных в п.3.2. необходимо

- произвести анализ оставшейся информации и по возможности извлечь ее;

- восстановить функционирование ?СПДн

- в случае отсутствия части информации или полной невозможности ее восстановления используется последняя резервная копия, содержащая утраченные данные;

4. СЕТЕВОЙ ДОСТУП

4.1. Сетевые устройства

Коммутационные устройства организации, использующиеся для организации сетевого взаимодействия в рамках функционирования ?СПДн описаны в Техническом паспорте ?СПДн.

4.2. Сетевые приложения

Сетевые приложения организации, использующиеся для организации сетевого взаимодействия в рамках функционирования ?СПДн описаны в Техническом паспорте ?СПДн.

4.3. Учетные записи и сетевой доступ

Сетевой доступ в организации определяется (доступ пользователей к локальным ресурсам) реализуется средствами операционной системы Windows. Разграничение доступа при этом осуществляется на уровне учетных записей операционной системы в соответствии с п.1.4 настоящей Политики.

4.4 Доступ в ?нтернет

Доступ пользователей в ?нтернет определяется Порядком доступа сотрудников Организации к информационным системам обработки персональных данных и программно-аппаратным средствам их защиты и приказами организации.

4.5. Межсетевой экран

Правила фильтрации трафика определяются должностной инструкцией Администратора межсетевого экрана.

4.6. Сетевое сканирование

В качестве сканера, позволяющего оценить уязвимость локальных ресурсов, используется сертифицированное средство поставщика услуг интернета ОАО ?Ростелеком?.

4.7. ?нциденты

Возможные инциденты и описание процедур реагирования на них описаны в должностных инструкциях Администратора и Пользователя ?СПДн, СЗ? ?СПД, МЭ ?СПДн, а также в инструкции используемого межсетевого экрана.

5. ЗАЩ?ТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ

5.1. Вредоносные программы

В рамках применения настоящей политики вредоносными программами являются программы и программные закладки, опубликованные на обновляемом ресурсе http://www.kaspersky.ru/viruswatchlite. Соответствие уровня защиты данному перечню обеспечивается своевременным обновлением баз антивирусной программы и выполнением должностных инструкций пользователя и администратора антивирусных средств защиты ?СПДн.

5.2. Приложения

Перечень приложений против вредоносных программ и правила доступа к настройкам этих программ определяются должностными инструкциями пользователя и администратора антивирусных средств защиты ?СПДн.

5.3. ?нциденты

Возможные инциденты и описание процедур реагирования на них описаны в должностных инструкциях Администратора и Пользователя антивирусных средств защиты ?СПДн, а также в Положении об обработке персональных данных Организации.