Разработка пакета организационно-правовых документов для информационной безопасности ГБУЗ СО

Порядок ведения делопроизводства с документами конфиденциального характера. Ведение делопроизводства с документами, содержащими сведения конфиденциального характера, осуществляется в соответствии с требованиями «Типовой инструкции по делопроизводству в федеральных органах исполнительной власти», утвержденной приказом Федеральной архивной службы России 27.

11.2000 по распоряжению Правительства Российской Федерации от 31.

10.2000 № 1547-р, ГОСТа Р 6.30−2003 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов» .Документы, которые относятся к конфиденциальным, вносятся в «Реестр документов, образующихся в деятельности ГБУЗ СО „СГКБ № 2 имени Н.А. Семашко“, относящихся к утвержденному Перечню сведений конфиденциального характера» (Реестр документов). Реестр документов обновляется ежегодно после обновления номенклатуры дел на очередной календарный год. В случае передачи документов сторонним организациям, на документах и на их проектах, содержащих информацию конфиденциального характера, в соответствии с Перечнем сведений, проставляется пометка «Конфиденциально». Указанная пометка и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания, а также на первой странице сопроводительного письма к таким документам. Определение необходимости проставления на документах и на их проектах, содержащих информацию конфиденциального характера, пометки «Конфиденциально» производится на основании Реестра документов или Перечня сведений исполнителем и лицом, подписывающим документ. Приём и учёт (регистрация) документов, содержащих информацию конфиденциального характера, осуществляется общим отделом (специалистом по делопроизводству).Документы с пометкой «Конфиденциально»:учитываются совместно с другими несекретными документами. К регистрационному номеру (индексу) документа добавляется буква «К» ;после регистрации передаются на исполнение сотрудникам;

при направлении документов в стороннюю организацию, на последнем листе исполненного документа (как правило — на обратной стороне) должны быть указаны: количество отпечатанных экземпляров, фамилия исполнителя, номер его телефона и дата печатания документа. Отпечатанные и подписанные документы передаются для регистрации в общий отдел (специалисту по делопроизводству) для учета;

пересылаются сторонним организациям заказными или ценными почтовыми отправлениями;

размножаются (тиражируются) с письменного разрешения руководителя подразделения, учет размноженных документов осуществляется поэкземплярно;

хранятся в надежно запираемых шкафах (ящиках, хранилищах), или в выделенных помещениях, с особым порядком обращения с ключами и нахождения в них. Требования пунктов 3.1 — 3.5 распространяются на машинные носители информации (машиночитаемые документы), содержащие сведения конфиденциального характера. Передача конфиденциальной информации может также осуществляться в электронном виде по защищенным каналам связи в среде Lotus Notes на внутренние адреса или по деловой почте ViPNet. При необходимости направления документов с пометкой «Конфиденциально» в несколько адресов составляется указатель рассылки, в котором поадресно проставляются номера экземпляров отправляемых документов. Указатель рассылки подписывается руководителем структурного подразделения, ответственным за подготовку документа. Исполненные документы с пометкой «Конфиденциально» группируются в дела в соответствии с номенклатурой дел несекретного делопроизводства, совместно с другими несекретными документами. На обложке дела, в которое помещены такие документы, также проставляется пометка «Конфиденциально». Доступ сотрудников подразделений к этим делам для ознакомления с подшитыми документами осуществляется на основании визы руководителя. При большом объеме документов со сведениями конфиденциального характера их целесообразно группировать в дела отдельно от несекретных документов. Уничтожение дел и документов с пометкой «Конфиденциально», утративших свое практическое значение и не имеющих исторической ценности, производится в соответствии с Инструкцией по делопроизводству. Передача документов и дел с пометкой «Конфиденциально» из одного структурного подразделения в другое, не имеющее ранее отношения к ним, осуществляется по согласованию руководителей этих подразделений с отметкой о движении документа в регистрационно-контрольной карточке в общем отделе (через специалиста по делопроизводству).При смене работника, ответственного за хранение документов с пометкой «Конфиденциально», передача документов осуществляется через руководителя соответствующего структурного подразделения. Снятие документов с особого учета производится по указанию начальника соответствующего структурного подразделения, по истечению срока действия конфиденциальности информации. При этом зачеркивается пометка «Конфиденциально» .Аннулирование пометки «Конфиденциально» отражается в учетных документах. О снятии ограничения извещаются другие организации, в которые рассылался данный документ. Начальник структурного подразделения имеет право снятия пометки «Конфиденциально» с документированной информации, не включенной в Перечень сведений, о чем информируются исполнители документов. Ответственность за разглашение сведений конфиденциального характера, утрату документов, содержащих такие сведения, и нарушение порядка работы с ними.

Разглашение сведений конфиденциального характера является чрезвычайным происшествием и влечет за собой последствия, предусмотренные действующим законодательством, а также договорными обязательствами между руководством и принятым на работу лицом. Ответственность за разглашение сведений конфиденциального характера несет персонально каждый работник, имеющий доступ к этим сведениям и допустивший их разглашение. По факту разглашения сведений конфиденциального характера назначается служебное расследование, которое проводится назначенной по приказу комиссией. Комиссия устанавливает:

обстоятельства разглашения сведений конфиденциального характера;

соответствие разглашенных сведений перечню сведений, конфиденциального характера;

виновных в разглашении сведений конфиденциального характера;

причины и условия, способствующие разглашению сведений конфиденциального характера. Служебное расследование проводится в минимально короткий срок, но не более одного месяца со дня обнаружения факта разглашения. Одновременно с работой комиссии принимаются меры по локализации нежелательных последствий из-за разглашения сведений конфиденциального характера. При необходимости ставятся в известность соответствующие местные органы государственной власти. По результатам работы комиссии составляется акт, с указанием наименования утраченных (разглашенных) документов (дел, изданий) с пометкой «Конфиденциально». Соответствующие записи вносятся в учетные документы. В случае применения к виновным лицам дисциплинарных мер воздействия, руководство обязано принять решение не позднее месяца после обнаружения факта разглашения сведений конфиденциального характера. При наличии в действиях лица, разгласившего сведения конфиденциального характера, признаков административного правонарушения или преступления руководство имеет право обращаться в правоохранительные органы для привлечения его к ответственности, в соответствии с действующим законодательством Российской Федерации. ПРИЛОЖЕНИЕ № 3Регламент по использованию внешних адресов электроннойпочты в ГБУЗ СО «СГКБ № 2 имени Н. А. Семашко.

Основные определения и понятия.

Электронная почта (ЭП, E-Mail, ElectronicMail) — система передачи сообщений между компьютерами с помощью сетей. Внешний адрес ЭП — уникальное цифробуквенное наименование, позволяющее однозначно идентифицировать отправителя или получателя электронного сообщения. Внешняя ЭП — сервис обмена электронными сообщениями с абонентами вне АИС Отделения, с использованием внешних адресов ЭП по незащищенным каналам сети Интернет. Администратор безопасности внешней ЭП — специалист отдела по защите информации, выполняющий функции по контролю соблюдения правил использования внешней ЭП. Администратор внешней ЭП — специалист отдела технических, общесистемных и телекоммуникационных средств, выполняющий функции по сопровождению и настройке внешней ЭП, предоставления почтовых сервисов пользователям, в соответствии с распорядительными документами. Групповой адрес внешней ЭП — адрес ЭП, назначаемый на почтовом сервере для адресации внешних электронных сообщений группы пользователей. Индивидуальный адрес внешней ЭП — адрес ЭП, назначаемый на почтовом сервере для адресации внешних электронных сообщений одного пользователя. Инцидент информационной безопасности — нежелательное событие информационной безопасности (или совокупность событий), которое может скомпрометировать бизнес-процессы организации или непосредственно угрожает ее информационной безопасности. Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством или действующими регламентами. Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).Служебная переписка — различные виды документов информационно-справочного характера, используемых для обмена информацией в процессе деятельности организации. Общие положения.

Настоящий Регламентразработан в соответствииc Гражданским кодексом РФ, Федеральными законами РФ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.

07.2006 (с изменениями и дополнениями), «О персональных данных» № 152-ФЗ от 27.

07.2006 (с изменениями и дополнениями). Целью данного Регламента является создание единого порядка по работе с адресами внешней электронной почты.

ГБУЗ СО «СГКБ № 2 имени Н.А. Семашко"и принятие мер по минимизации угроз нарушения конфиденциальности данных, содержащихся в базах. Регламент определяет порядок предоставления, создания, использования, удаления внешних адресов ЭП и контроля за их использованием. Требования настоящего Регламента обязательны к исполнению всеми пользователями адресов внешней ЭП, администратором внешней ЭП и администратором безопасности внешней ЭП. Внесение изменений и дополнений к Регламенту утверждаетсяприказом главного врача. Организационное обеспечение.

Администратор внешней ЭП назначается приказом управляющего Отделением из числа сотрудников ИТ-отдела и действует в рамках своих должностных инструкций и настоящего Регламента. Администратор безопасности внешней ЭП назначается приказом управляющего Отделением из числа сотрудников отдела по защите информации (ОЗИ) и действует в рамках своих должностных инструкций и настоящего Регламента. Адрес внешней ЭП предоставляется сотрудникам исключительно для выполнения должностных обязанностей, ведения служебной переписки. Переписка в личных целях недопустима, а доступ администраторов к переписке в рамках Регламентарассматривается как контроль служебной переписки. Программно-техническое обеспечение и обслуживание.

Программно-техническое обеспечение, обслуживание и модернизацию технических средств, относящихся к функционированию внешней ЭП, выполняют отдел ТО и ТС и ОЗИ, в рамках полномочий, исходя из имеющихся ресурсов и перспективного планирования. Антивирусная защита почтовых серверов и иных компьютеров, относящихся к функционированию внешней ЭП, а также антивирусная проверка почтового трафика осуществляются на основании «Инструкции по защите автоматизированной информационной системы от вредоносных программ в ГБУЗ СО «СГКБ № 2 имени Н.А. Семашко». Почтовый сервер, предназначенный для организации внешней ЭП, размещается в демилитаризованной зоне, синхронизация с почтовыми серверами внутренней электронной почты осуществляется только через определенные порты. Общая схема подключения почтовых серверов представлены на Рис.

1. Детальная схема включения почтовых серверов с указанием портов подключения, IP адресов и маршрутизации согласовывается с отделом по защите информации и утверждается руководством. Все изменения, вносимые в схему подключения, согласовываются с отделом по защите информации и утверждаются Управляющим.

Отделением.ДМЗVipNet CoordinatorВнешний сервер ЭПВнутреннийсервер ЭПРис. 1Квотапересылаемых писем устанавливается в размере не более 10 мегабайт, в отдельных случаях квота может быть временно увеличена Администратором внешней ЭП по информации от руководителя структурного подразделения. Порядок создания, блокировки и удаления внешнего адреса ЭППредоставление внешнего адреса ЭП производится на основании Заявки установленного образца. Руководитель структурного подразделения несет ответственность за целесообразность создания и использованиявнешних адресов ЭП. Критериями для выделения внешнего адреса ЭП являются:

выполнение обязанностей, предполагающих переписку средствами внешней ЭП;наличие данного функционала в должностной инструкций для занимаемой должности либо данного структурного подразделения. Периодически возникающие разовые потребности в сервисе у пользователей решаются организационно, с использованием уже существующих адресов в структурном подразделении. При необходимости массового создания однотипных внешних адресов ЭП для разных структурных подразделений, под какую-то задачу (и) оформляется соответствующий приказ главного врача. В случае поступления заявки Администратор внешней ЭП создает внешний адрес ЭПи уведомляет Администратора безопасности внешней ЭП о проведенных работах письмом по электронной почте. Администратор безопасности внешней ЭП ознакомляет пользователя с текущим Регламентом и отражает факт предоставления внешнего адреса ЭП отметкой в Журнале учета внешних адресов ЭП. Блокировка внешнего адреса ЭП или доступа к нему пользователей производится на основании:

заявкиустановленного образца;

служебной записки начальников ОЗИ и ИТ-отдела на главного врача, с уведомлением руководителя структурного подразделения, в ведении которого находится пользователь; выявленного нарушения правил эксплуатации внешнего адреса ЭП, с последующим уведомлением начальника отдела технических, общесистемных и телекоммуникационных средств, начальника отдела по защите информации и администратора безопасности ЭП;Причинами блокировки могут служить ежегодный отпуск, декретный отпуск, продолжительный больничный, временное отсутствие необходимости во внешнем адресе ЭП, нарушение пользователем правил использования внешнего адреса ЭП. Администратор внешней ЭП производит блокировкувнешнего адреса ЭПи уведомляет Администратора безопасности внешней ЭП о проведенных работах письмом по электронной почте. Администратор безопасности внешней ЭП отражает этот факт в Журнале учета внешних адресов ЭП. Разблокировка адреса внешней ЭП пользователя выполняется на основании заявкиустановленного образца. Удаление внешнего адреса ЭП инициируется на основании;

заявкиустановленного образца;

служебной записки начальников ОЗИ иотдела ТОиТС на руководителя Отделения, с уведомлением руководителя структурного подразделения, в ведении которого находится пользователь;

решения внутрипроверочной комиссии. Причинами для удаления могут служить увольнение пользователя, изменение должностных обязанностей, нарушение правил использования внешнего адреса ЭП, возникновение иных обстоятельств, при которых дальнейшая эксплуатация внешнего адреса ЭП не требуется. Администратор безопасности внешней ЭП может инициировать процедуру блокировки или удаления внешнего адреса ЭП на основании анализа содержимого почтовых пересылок, посредством подготовки служебной записки об оптимизации использования сервисов на руководителя структурного подразделения пользователя. Администратор внешней ЭП производит удалениевнешнего адреса ЭПи уведомляет Администратора безопасности внешней ЭП о проведенных работах письмом по электронной почте. Администратор безопасности внешней ЭП отражает этот факт в Журнале учета внешних адресов ЭП. Данные Журнала учета внешних адресов ЭП ведутся в электронном виде. Ежегодно Администратором внешней ЭП актуальные данные Журнала учета внешних адресов ЭП, распечатываются и утверждаются Управляющим. Порядок именования адресов внешней ЭПУже существующие адреса не подлежат переименованию, кроме случаев смены анкетных данных либо наименования группы (отдела, задачи и др.)Не рекомендуется присвоения адресам уже использованных ранее имен. Для вновь создаваемых адресов имена должны нести информацию о владельце адреса. Индивидуальные адреса внешней ЭП формируются по инициалам и фамилии пользователя (возможны только инициалы) в латинской транскрипции. Как добавочные, могут использоваться цифры и символы в имени адреса. Групповые адресавнешней ЭП, создаваемые для решения задач отделов, называются по аббревиатуре полного названия отдела в латинской транскрипции. Групповые адреса внешней ЭП создаваемые для совместного решения каких-либо производственных задач называются по аббревиатуре или названию задачи в латинской транскрипции. При создании однотипных и/или одноименных групповых адресов используется именование согласно пп.

6.4, 6.5 текущего Регламента с добавлением номера кода подразделения, либо порядковая нумерация. Контроль за использованием внешних адресов ЭП. Все отправляемые на внешние почтовые адреса (приходящие с внешних почтовых адресов) письма со всеми вложениями дублируются на выделенный защищенный ресурс. Доступ к данному ресурсу имеют Администратор внешней ЭП и Администратор безопасности внешней ЭП. Данный ресурс содержит адреса отправителя и получателя, тему письма, время и дату отправления или получения, размер письма, при наличии вложения — само вложение, на основании которых Администратор безопасности внешней ЭП производит анализ соответствия требованиям Регламента. Срок хранения этих данных составляет 6 месяцев. В случае выявления инцидентов информационной безопасности срок хранения может быть продлен до полного расследования. Корреспонденция со сроком давности более 6 месяцев удаляется Администратором внешней ЭП. Порядок эксплуатации. Все пользователи внешней ЭП, Администратор внешней ЭП и Администратор безопасности внешней ЭП, должны ознакомиться с настоящим.

Регламентом.Внешняя ЭП предназначена для выполнения служебных обязанностей, для осуществления служебной переписки, не содержащей конфиденциальных сведений. Вся информация, циркулирующая в рамках внешней ЭП, считается корпоративной, служебной. Контроль за использованием внешней ЭП не считается вмешательством в личную жизнь. При ведении официальной переписки с другими организациями можно использовать внешний адрес ЭП, закрепленный за общим отделом. Ограничения при эксплуатации внешней ЭП. При использовании адреса внешней ЭП запрещено:

передавать информацию, содержащую персональные данные, иную информацию конфиденциального характера; передавать информацию, содержащую защищаемые авторскими правами материалы, затрагивающих какой-либо патент, коммерческую тайну;

передавать информацию, содержание и направленность которой запрещены международным и Российским законодательством включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т. д.; переходить по ссылкам и открывать вложенные файлы, полученные от сомнительных отправителей, при обнаружении подозрительных объектов пользователь обязан действовать согласно Инструкции по защите автоматизированной информационной системы от вредоносных программ; публиковать свой почтовый адрес, либо почтовый адрес других пользователей на общедоступных ресурсах сети Интернет (форумы, конференции и т. п.), не связанных с производственной деятельностью; использовать почтовый адрес для оформления подписки на периодическую рассылку материалов из сети Интернет, не связанных с производственной деятельностью.Ответственность.

Ответственность за целесообразность предоставления сотруднику и использование адреса внешней ЭП для служебной деятельности возлагается на руководителя структурного подразделения. Ответственность за использование индивидуальногоадреса внешней ЭП несет пользователь, за которым закреплен этот адрес. Администратор внешней ЭП и Администратор безопасности внешней ЭП несут ответственность за исполнение своих должностных обязанностей в рамках текущего Регламента и должностных инструкций. Сотрудники, нарушившие требования настоящего Регламента, несут персональную ответственность в соответствии с нормативными документами Отделения и действующим законодательством. При обнаружении фактов нарушения настоящего Регламента, повлекших снижение уровня защиты информации, и квалифицированных администратором безопасности как инцидент информационной безопасности, все материалы передаются председателю внутрипроверочной комиссии, назначенной приказом управляющего Отделением для проведения служебного расследования. Администратор внешней ЭП и администратор безопасности внешней ЭП привлекаются для участия в составе комиссии по расследованию инцидента. По итогам расследования комиссией выносится решение о привлечении к ответственности нарушителей, вплоть до передачи материалов расследования в правоохранительные органы.