Приложение к Приказу от 06.11.2015 г № 120-МПР


Инструкция по работе с отчуждаемыми носителями защищаемой информации, в том числе с ключевыми носителями в автоматизированной информационной системе управления финансово-хозяйственной деятельностью в Министерстве здравоохранения Иркутской области
Глава 1.Общие положения
1.Настоящая Инструкция регулирует порядок обслуживания и обеспечение безопасности несъемных электронных носителей информации, к которым относятся базы данных на жестких магнитных дисках, содержащие информацию, подлежащую защите.
2.Настоящей Инструкцией определяется порядок учета, хранения и обращения со съемными и ключевыми носителями информации (далее - носитель информации) и их утилизации. К съемным носителям информации относятся носители для однократной или многократной записи, такие как CD-R, CD-RW, DVD-R, DVD-RW, USB-флеш-накопители, дискеты и т.д.
3.Настоящая Инструкция содержит обязательные для пользователей министерства здравоохранения Иркутской области, работающих в автоматизированной информационной системе управления финансово-хозяйственной деятельностью (далее - АИС) в министерстве здравоохранения Иркутской области (далее - Министерство), правила обращения с отчуждаемыми (съемными) носителями, использующимися для записи конфиденциальной информации, и ключевыми носителями информации.
4.Для целей настоящей Инструкции используются следующие основные понятия:
а) съемные носители информации - различные по физической структуре и конструктивному исполнению носители информации, используемые для записи и накопления информации с целью непосредственного ввода ее в электронную вычислительную машину, обработки и передачи при помощи технических средств;
б) ключевые носители информации - съемный носитель информации, на который записана уникальная секретная ключевая информация (идентификатор пользователя, закрытый ключ электронной подписи), используемая для подтверждения целостности, подлинности и авторства электронных документов, передаваемых в электронном виде;
в) безопасность данных на электронных носителях информации - сохранение конфиденциальности, исключение несанкционированного проникновения либо иных действий, в том числе не имеющих злого умысла, которые могут привести к потере, искажению, изменению, копированию и другим нежелательным действиям с данными.
5.Организационное и техническое обеспечение безопасности конфиденциальной информации, хранящейся на электронных носителях информации в АИС, с использованием допустимых программно-аппаратных методов защиты, контроль за действиями пользователей, работающих в АИС при работе с указанными носителями информации, осуществляется администратором информационной безопасности Министерства.
6.Секретная ключевая информация, находящаяся на ключевом носителе, относится к категории сведений ограниченного распространения.
Глава 2.Организация работы с отчуждаемыми носителями защищаемой информации, в том числе с ключевыми носителями
7.Все находящиеся на хранении и в обращении носители информации конфиденциальной информации подлежат учету. Каждый носитель информации с записанными на нем защищаемыми данными должен иметь этикетку, на которой указывается его уникальный учетный номер.
8.Учет носителей информации осуществляет администратор информационной безопасности Министерства.
9.При обработке конфиденциальной информации пользователи АИС должны использовать только специально предназначенные для этого разделы (каталоги) электронных носителей информации или съемные маркированные носители информации.
10.При хранении носителей информации должны соблюдаться условия, обеспечивающие сохранность конфиденциальной информации и исключающие несанкционированный доступ к ней.
11.Пользователь Министерства обязан:
а) при получении носителей информации убедиться, что они правильно маркированы, и расписаться в соответствующем журнале;
б) сдавать свой персональный ключевой носитель на временное хранение ответственному за обеспечение безопасности персональных данных на время длительного отсутствия на рабочем месте, в период отпуска и болезни и т.п.;
в) сдавать свой съемный носитель на временное хранение администратору информационной безопасности Министерства на время длительного отсутствия на рабочем месте, в период отпуска и болезни и т.п.;
г) в случае утери ключевого носителя немедленно сообщить об этом ответственному за обеспечение безопасности персональных данных и принять участие в служебном расследовании факта утери ключевого носителя;
д) в случае утери съемного носителя немедленно сообщить об этом администратору информационной безопасности Министерства и принять участие в служебном расследовании факта утери съемного носителя;
е) в случае перевода на другую работу, увольнения и т.п. обязан сдать (сразу по окончании последнего сеанса работы) свой носитель информации администратору информационной безопасности Министерства и/или ответственному за обеспечение безопасности персональных данных под роспись в соответствующих журналах;
ж) хранить носитель конфиденциальной информации только в личном сейфе либо в сейфе уполномоченного сотрудника.
12.Пользователям Министерства запрещается:
а) хранить носители конфиденциальной информации вместе с носителями открытой информации, на рабочих столах либо оставлять их без присмотра в незапертом помещении или передавать на хранение другим лицам;
б) выносить учтенные носители информации из служебных помещений для работы с ними на дому и т.д.;
в) передавать свой носитель информации другим лицам (кроме как для хранения уполномоченному лицу);
г) оставлять носитель информации без личного присмотра;
д) делать неучтенные копии с носителей информации.
13.При отправке или передаче конфиденциальных данных адресатам на съемные носители записываются только предназначенные адресатам данные.
14.Вынос съемных носителей, не содержащих персональных данных, для непосредственной передачи адресату осуществляется только с письменного разрешения администратора информационной безопасности Министерства на основании запроса сторонней организации.
15.Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения ответственного за обеспечение безопасности персональных данных в АИС на основании запроса сторонней организации с обязательной регистрацией в Журнале регистрации запросов на предоставление персональных данных.
16.Для защиты носителей информации от несанкционированного доступа, использования или повреждения во время транспортировки из одной организации в другую необходимо использовать надежных курьеров и транспорт, а также упаковку, защищающую носители от постороннего вмешательства и позволяющую выявить попытки ее вскрытия.
17.О фактах утраты носителей конфиденциальной информации либо разглашения содержащихся на них сведений немедленно ставится в известность руководитель организации Министерства, администратор информационной безопасности Министерства и ответственный за обеспечение безопасности персональных данных. На утраченные носители составляется акт. Соответствующие отметки вносятся в Журнал учета носителей информации.
18.Съемные носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей конфиденциальной информации осуществляется уполномоченной комиссией. По результатам уничтожения носителей составляется акт по форме, установленной Приложением 1 к настоящей Инструкции.
19.При изменении полномочий сотрудника Министерства, его увольнении либо компрометации ключевого носителя уничтожается вся ключевая информация и подписывается акт об уничтожении ключевой информации с ключевых носителей, установлен Приложением 2 к настоящей Инструкции.
20.Носители, на которые осуществляется резервное копирование защищаемой информации, должны регулярно (не реже одного раза в 6 месяцев) проверяться на отсутствие сбоев уполномоченными сотрудниками Министерства.
21.При повторном использовании носителей информации предыдущее содержимое должно надежно удаляться администратором информационной безопасности Министерства.
22.Повседневный и периодический контроль за действиями сотрудников организации при работе с носителями информации возлагается на администратора информационной безопасности Министерства.
Глава 3.Требования по работе с ключевым носителем
23.Для получения доступа к защищенным данным, хранящимся в памяти ключевого носителя, требуется ввести PIN-код (Personal Identification Number), являющийся аналогом пароля.
24.Пользователь Министерства должен выполнять следующие требования:
а) изменить PIN-код сразу после получения ключевого носителя (USB-ключ/смарт-карту eToken). PIN-код необходимо хранить в тайне;
б) соблюдать требования к ПИН-коду ключевого носителя, к его периодической смене.
25.При последовательном вводе более пяти неправильных PIN-кодов ключевой носитель блокируется. Для разблокировки ключевого носителя необходимо обратиться к администратору информационной безопасности Министерства.
26.В случае утраты ключевого носителя закрытый ключ восстановить невозможно. Зашифрованная с помощью утерянного закрытого ключа информация восстановлению не подлежит.
Глава 4.Заключительные положения
27.Пользователь Министерства, работающий с АИС, несет персональную ответственность за сохранность и правильное использование вверенного ему носителя информации.
28.За нарушение положений настоящей Инструкции к сотруднику Министерства может быть применена дисциплинарная ответственность, а также ответственность, предусмотренная действующим законодательством в области защиты информации Российской Федерации.
Начальник отдела мобилизационной
работы и организации медицинской
помощи при чрезвычайных ситуациях
А.А.МАЙДАНЮК