Приложение к Приказу от 06.11.2015 г № 120-МПР
Инструкция резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в Министерстве здравоохранения Иркутской области
Глава 1.Общее положение
1.Настоящая Инструкция резервирования и восстановления работоспособности технических средств (далее - ТС) и программного обеспечения (далее - ПО), баз данных и средств защиты информации (далее - СЗИ) разработана с целью обеспечения возможности незамедлительного восстановления защищаемых данных, модифицированных или уничтоженных вследствие несанкционированного доступа (далее - НСД) к ним.
2.Данный документ определяет:
а) правила и объемы резервирования, а также порядок восстановления работоспособности в автоматизированной информационной системе управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство);
б) предназначен для исполнения сотрудником, в обязанности которого входит техническое обслуживание АИС (далее - администратор), а также пользователями АИС, участвующими в обработке персональных данных (далее - ПДн) в АИС (далее - пользователи);
в) описывает действия администратора Министерства и пользователей Министерства по обеспечению резервного копирования и восстановления ПДн, обрабатываемых в АИС.
3.Носители информации, используемые для резервирования защищаемой информации в АИС (в том числе и ПДн), подлежат защите в той же степени, что и резервируемая информация.
4.Контроль за исполнением настоящей Инструкции осуществляет администратор информационной безопасности Министерства и сотрудник, ответственный за обеспечение безопасности ПДн в АИС.
Глава 2.Назначение и область действия
5.Резервируемой информацией следует считать любые защищаемые данные в электронном виде. Резервируемая информация разделяется по способу обработки (по способу хранения) на две категории:
а) обработка (хранение) в базе данных;
б) любом другом виде.
6.Резервному копированию подлежат все информационные ресурсы АИС, содержащие защищаемую информацию, а именно:
а) файлы баз данных;
б) электронные документы.
7.Резервному копированию могут также подвергаться:
а) системное и прикладное программное обеспечение АИС;
б) средства защиты информации.
Глава 3.Порядок резервирования
8.Резервное копирование и хранение данных должно осуществляться на периодической основе:
а) для обрабатываемых защищаемых данных - не реже одного раза в месяц;
б) для технологической информации - не реже раза в два месяца;
в) эталонные копии программного обеспечения (операционные системы, штатное и специальное программное обеспечение, программные средства защиты), с которых осуществляется их установка на элементы АИС, - не реже раза в квартал и каждый раз при внесении изменений в эталонные копии (выход новых версий).
9.Резервирование защищаемых информационных ресурсов АИС, не содержащих ПДн, выполняется администратором информационной безопасности Министерства.
10.Резервирование информационных ресурсов АИС, содержащих ПДн, выполняется ответственным за обеспечение безопасности ПДн в АИС.
11.Определяется 2 вида резервирования данных:
а) полное резервирование данных - резервное копирование всех ПДн, хранящихся в АИС;
б) неполное резервирование данных - резервное копирование части ПДн, хранящихся в АИС.
12.Целью неполного резервирования является сохранение изменений в АИС с момента полного резервирования ПДн.
13.Резервирование ЗД осуществляется в автоматическом режиме на локальном дисковом массиве сервера.
14.Резервное копирование баз данных выполняется:
а) ежедневно в конце рабочего дня ответственным специалистом на учтенный съемный носитель информации;
б) ежедневно в конце рабочего дня в автоматическом режиме на локальный диск сервера.
15.Восстановление файлов АИС производится путем разархивирования файлов базы данных в исходный каталог.
16.Необходимо регулярно периодичностью один раз в квартал создавать резервные копии путем копирования информации на КОД или любой другой зарегистрированный отчуждаемый носитель информации.
17.Периодичность проведения работ по резервированию данных определяется ответственным за обеспечение безопасности ПДн совместно с администратором информационной безопасности Министерства с учетом специфики работы АИС, но не менее 1 раза в квартал для полного резервирования и 1 раза в месяц для неполного резервирования.
18.В случаях, когда защищаемые ресурсы хранятся на компьютерах пользователей Министерства локально, допустимо перекладывать ответственность за проведение неполного резервирования данных на пользователей АИС.
19.События резервирования ПДн фиксируются в Журнале резервирования информационных ресурсов АИС. В журнале указывается: дата, вид резервирования, наименование резервируемого информационного ресурса, количество и общий размер файлов, серийный номер носителя информации, ответственное лицо.
20.Администратор АИС использует средства резервного копирования ИС для резервирования данных на отчуждаемый носитель. В случаях, когда резервирование данных средствами ИС не представляется возможным, администратор ИС по согласованию с ответственным за обеспечение безопасности ПДн организации и администратором информационной безопасности Министерства может использовать средство резервного копирования, не входящее в состав АИС.
21.Резервное копирование с использованием незащищенных каналов связи общего пользования недопустимо.
22.Администратор не имеет права ознакамливаться с резервируемыми ПДн. Факт ознакомления администратора с резервируемыми ПДн может быть расценен как превышение служебных полномочий в соответствии с Трудовым кодексом Российской Федерации и Кодексом об административных правонарушениях Российской Федерации.
23.Носители, на которые произведено резервное копирование, должны быть пронумерованы: номером носителя, датой проведения резервного копирования.
24.Носители должны храниться не менее года для возможности восстановления данных.
25.В случае удаления ПДн субъекта из АИС должна быть также удалена резервная копия этих данных.
Глава 4.Порядок хранения резервных копий
26.Хранение резервных копий ПДн должно исключать любой несанкционированный доступ посторонних лиц к носителям информации.
27.Хранение носителей резервных копий защищаемой информации должно быть организовано в сейфе или несгораемом металлическом шкафу с устройством опечатывания у администратора информационной безопасности Министерства и/или у сотрудника, ответственного за обеспечение безопасности ПДн.
28.Доступ к местам хранения резервных копий должен быть предоставлен только администратору информационной безопасности Министерства и ответственному за обеспечение безопасности ПДн.
29.На носителе информации, содержащем резервные копии ПДн, не должна храниться посторонняя информация.
Глава 5.Порядок восстановления информации после сбоя
30.При искажении, модификации, блокировании, удалении ПДн необходимо руководствоваться следующим порядком восстановления:
а) в случае возникновения инцидента информационной безопасности, связанного с ПДн, следует незамедлительно сообщить об этом администратору;
б) ответственным за восстановление ПДн из резервных копий является администратор, начальник подразделения, в котором произошел инцидент, и/или администратор информационной безопасности Министерства;
в) администратор обязан срочно уведомить администратора информационной безопасности Министерства и ответственного за обеспечение безопасности ПДн в организации о факте сбоя в работе АИС, повлекшего нарушение целостности ПДн;
г) администратор должен оценить причину возникновения неисправности и принять меры по устранению технических неисправностей при неполадках программного или аппаратного обеспечения компьютера или воспользоваться резервной копией при проблемах, связанных непосредственно с ПДн;
д) факты восстановления ПДн должны фиксироваться в Журнале резервирования информационных ресурсов АИС (в графе "вид резервирования" указывается "полное восстановление" либо "частичное восстановление").
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК