Политика информационной безопасности

 

 

Политика информационной безопасности

 

Политика информационной  безопасности персональных данных при их обработке

в информационных системах Муниципального бюджетного учреждения здравоохранения «Центральная городская больница»

 

Общие положения

1. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах в Муниципальном бюджетном учреждении здравоохранения «Центральная городская больница» (далее - Положение) предназначено для обеспечения эффективной организации и управления доступом пользователей к персонифицированной информации, хранящейся в базах данных (далее - БД), и содержит требования по обеспечению информационной безопасности в части выполнения операций по организации и управлению доступом к базе данных.

2. Требования Положения обязательны для выполнения всеми пользователями. Ответственность за выполнение требований Положения несут пользователь информационной системы и руководитель структурного подразделения, в котором работает данный пользователь. Пользователь, впервые начинающий работать с персонифицированными базами данных, обязан ознакомиться с данным Положением.

3. Все пункты Положения, упоминающие подключение к БД, распространяются также и на подключение к информационной системе с использованием БД (далее - ИСБД), если иное не оговорено явно в тексте Положения.

В настоящем Положении использованы следующие термины и определения:

База данных - централизованное хранилище информации, оптимизированное для многопользовательского доступа и работающее под управлением системы управления базой данных (далее - СУБД).

 Персонифицированная информация – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Несанкционированный доступ (НСД) - определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Пользователи - должностные лица, а также все другие лица и организации, использующие базы данных органов и управлений либо обращающиеся к ним.

ЛВС - локальная вычислительная сеть.

Политика информационной безопасности – комплекс организационно-технических мероприятий, правил и условий использования информационных систем в Муниципальном бюджетном учреждении здравоохранения «Центральная городская больница», определяющих нормальное функционирование этих систем и обеспечение безопасности информации, обрабатываемой в них, оформленной в виде нормативных документов.

Настоящая Политики информационной безопасности устанавливает цели, задачи, порядок проведения  мероприятий по обеспечению безопасности при работе с базой данных.

 

1. Цели и задачи проведения мероприятий по безопасности

Целью проведения мероприятий по обеспечению безопасности при работе с БД является предотвращение вывода из строя системы управления базы данных, предотвращение НСД к БД, находящейся на электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети.

 

2. Порядок проведения мероприятий по обеспечению работы с БД

2.1. Сервер БД должен находиться в серверном помещении.

Требования к серверному помещению:

·                    Для обеспечения безопасности баз данных и бесперебойной работы систем серверы и компьютеры управления БД размещается в отдельном помещении.

·                    Для бесперебойной работы сервера БД и предотвращения потери информации рабочие станции и сервер укомплектовываются блоками бесперебойного питания.

 Для исключения возможности несанкционированного доступа к серверу БД обеспечивается механическая защита помещения серверной. Ответственным за работу сервера БД является начальник информационно-технического отдела.

 

3. Порядок работы по защите информации при работе с БД.

3.1. Порядок работы пользователя по защите информации при работе с БД.

3.1.1. Порядок работы пользователя по защите информации при работе с БД определяется комплексом организационно-технических мероприятий по обеспечению безопасности информации, хранящейся в БД и обрабатываемой с помощью средств вычислительной техники в ЛВС Муниципальное бюджетное учреждение здравоохранения «Центральная городская больница».

3.1.2. Решение задач, связанных с организацией и управлением доступа должностных лиц Муниципального бюджетного учреждения здравоохранения «Центральная городская больница» к БД, осуществляется начальником информационно-технического отдела.

3.1.3. Ответственность за сохранность и правильное использование информации, полученной из БД, несут пользователь, имеющий доступ к БД, и начальник структурного подразделения, в составе которого работает пользователь. Ответственность наступает с момента поступления информации на рабочую станцию пользователя.

3.1.4. Для обеспечения доступа пользователей к БД на их рабочих станциях должно быть установлено специальное программное обеспечение, обеспечивающее доступ и выполнение операций с информацией в БД.

3.1.5. Пользователям запрещается самостоятельно устанавливать другое программное обеспечение (или менять параметры конфигурации ранее установленных программных средств) для доступа и манипулирования данными в БД. Запрещается копирование специального ПО и файлов БД на личные съемные носители.

3.1.6. Для обеспечения информационной безопасности при работе с БД на ЭВМ должно быть установлено лицензионное программное обеспечение с действующим обновлением: операционная система, пакет прикладных программ, антивирусная программа.

3.1.7. Доступ к БД предоставляется исключительно пользователям, прошедшим инструктаж согласно политике информационной безопасности.

3.1.8. Список лиц, имеющих доступ к БД, определяется Приложениями к данному Положению, утвержденными главным врачом Муниципального бюджетного учреждения здравоохранения «Центральная городская больница».

3.1.9. Для каждого из пользователей, которым необходим доступ к БД, создается учетная запись о пользователе БД, состоящая из имени пользователя и пароля. Срок действия активной учетной записи пользователя БД ограничен сроком действия служебного контракта. Первоначальное значение пароля устанавливается ведущим инженером-программистом и начальником информационно-технического отдела. Периодичность, порядок и технология изменения пароля доводится ведущим инженером-программистом и начальником информационно-технического отдела до пользователей.

3.1.10. Начальник информационного отдела Муниципального бюджетного учреждения здравоохранения «Центральная городская больница» принимает решение о разрешении доступа пользователя к БД или изменения полномочий пользователя БД по ходатайству руководителя структурного подразделения МБУЗ ЦГБ, в составе которого работает данный пользователь.

3.1.11. Пользователю запрещается передавать в любом виде или сообщать пароли для доступа к БД другим лицам, в том числе и своим руководителям. Запрещается хранение пароля на любых твердых носителях, позволяющих другим лицам получить информацию о пароле.

3.1.12. Пользователю запрещается использовать информацию, полученную в результате доступа к БД, в целях, не предусмотренных его должностным регламентом.

3.1.13. Пользователь обязан не разглашать свои идентификационные данные.

3.1.14. Пользователь, имеющий возможность ввода или изменения данных в БД, обязан обеспечить правильность вводимых данных.

3.1.15. Пользователь обязан блокировать персональный компьютер и закрывать соединение с БД на время своего отсутствия у рабочей станции.

3.1.16. Руководители структурных подразделений обязаны своевременно сообщать ведущему инженеру-программисту и начальнику информационно-технического отдела об изменениях статуса пользователя (увольнение и т.п.).

3.1.17. В случае выявления инцидентов с доступом к БД (фактов несанкционированного доступа к БД, блокировки доступа, утери или компрометации пароля и т.д.) пользователь обязан незамедлительно сообщить об этом начальнику информационно-технического отдела.

3.1.18. Возможность подключения к БД не дает права пользователям подключаться к БД, если им не предоставлены права доступа к этим БД. Такие подключения рассматриваются как попытки несанкционированного доступа.

3.1.19. При нарушении правил, связанных с информационной безопасностью, пользователь несет ответственность, установленную действующим законодательством Российской Федерации.

3.1.20. Пользователь несет ответственность за все действия, совершенные от имени его учетной записи, если не доказан факт несанкционированного использования учетной записи.

3.1.21. Начальники структурных подразделений  несут персональную ответственность за неправильное использование специалистами учетных записей пользователей, имеющих доступ к БД, а также за ознакомление (под роспись) с Порядком работы новых пользователей БД в своем структурном подразделении.

3.1.22. При выявлении инцидентов доступ пользователей к БД должен быть приостановлен до окончания расследования инцидента, о чем пользователь и руководитель структурного подразделения, в котором работает сотрудник, уведомляются в кратчайшие сроки. По результатам служебного расследования нарушитель может быть лишен прав доступа к БД, материалы расследования могут быть направлены в соответствующие Службы для привлечения нарушителя к административной ответственности.

3.1.23. Сотрудники МБУЗ ЦГБ, имеющие доступ к персональным данным, подписывают  СОГЛАСИЕ на обработку персональных данных.

3.1.24. Решение задач, связанных с организацией и управлением доступом пользователей к БД, осуществляется начальником информационно-технического отдела.

3.1.25. Ответственность за сохранность информации, находящейся в БД, несет начальник информационно-технического отдела.

3.1.26. Начальник информационно-технического отдела, ведущие инженеры-программисты организуют и контролируют процесс установки и конфигурирования стандартного программного обеспечения для работы пользователей с БД, осуществляют сопровождение и тестирование специального программного обеспечения для доступа к БД, обеспечивают разработку дополнительных требований по обеспечению доступа к БД и доведение их до сведения пользователей и руководителей структурных подразделений.

3.1.27. При выявлении факта НСД  начальник информационно-технического отдела обязан:

·                    прекратить доступ к БД со стороны выявленного участка НСД;

·                    доложить руководству служебной запиской о факте НСД, его результате (успешный, неуспешный) и предпринятых действиях;

·                    известить заведующего структурного подразделения, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка НСД, о факте НСД;

·                    проанализировать характер НСД;

3.1.28. При увольнении сотрудника идентификатор и пароль сотрудника удаляются из системы ведущими инженерами-программистами и начальником информационно-технического отдела. Возможность доступа по старым ключам блокируется.

3.1.29. В случае обнаружения неправомерных действий специалистов (удаление информации, внесение в систему закладок и вирусов) начальник информационно-технического отдела докладывает об этом руководителю структурного подразделения, в котором он работает и главному врачу Муниципального бюджетного  учреждения здравоохранения «Центральная городская больница». По результатам служебного расследования нарушитель может быть привлечен к административной ответственности.

 

 

 

4. Программно-аппаратная защита персональных данных

4.1. При работе с базами данных на персональных компьютерах, серверах должно быть установлено лицензионное антивирусное программное обеспечение, лицензионное программное обеспечение для передачи данных по каналам связи и Интернета, удовлетворяющее требованиям защиты информации, относящиеся к ИСПДН класса 1.

 

 

Перечень персональных данных, используемых в БД Муниципального бюджетного учреждения здравоохранения  «Центральная городская больница»

 

1. Сведения о применяемых методах и надежности защиты помещений, средств вычислительной техники, информационно-телекоммуникационных сетей и другого оборудования от утечки защищаемой информации, несанкционированных  непреднамеренных воздействий на защищаемую информацию.
2. Сведения о проектных решениях по обеспечению защиты информации при разработке перспективных и модернизации существующих информационных систем, систем связи и передачи данных
3. Сведения о состоянии и мерах по совершенствованию системы защиты конфиденциальной информации
4. Сведения о результатах комплексных проверок состояния защиты информации
5. Сведения о потенциальных каналах утечки информации
6. Отчетность, содержащая анализ состояния организационно-технических средств защиты информации, содержащей сведения, составляющие коммерческую тайну
7. Сведения об используемых сетевых адресах и паролях автоматизированных и информационно-управляющих систем производственной и финансово-экономической деятельности
8. Содержание базы данных и программного обеспечения цифровых автоматизированных телекоммуникационных систем, находящихся на узлах связи МБУЗ «Центральная городская больница»
9. Систематизированные данные о лицах, получивших доступ конфиденциальной информации
10. Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, состояние здоровья, образование, профессия, доходы, другая информация в том числе и медицинская.
11. Сведения, ставшие известными в ходе исполнения своих должностных обязанностей.
12. Значения паролей, ключей, электронных цифровых подписей, применяемых в ЛВС МБУЗ «Центральная городская больница»

 


 

 

 Приказ № 1199 об утверждении Политики информационной безопасности персональных данных при их обработке в МБУЗ «ЦГБ» Скачать

 Приложения к приказу №1199 МБУЗ «ЦГБ» Скачать

Дата последнего обновления страницы 10.07.2018
Сайт создан по технологии «Конструктор сайтов e-Publish»