Уровни защищенности персональных данных
Содержание
1 Нормативно-правовая база в области защиты персональных данных – перечень нормативно-правовых актов и методических документов. 2
2 Основные рекомендации. 5
2.1 Акт классификации ИСПДн. 6
2.2 Модель угроз ИСПДн. 9
2.3 Приказ о перечне ПДн. 12
2.4 Приказ о списке лиц допущенных к ПДн. 13
2.5 Приказ об обеспечении безопасности ПДн. 13
2.6 Приказ об обработке ПДн. 15
2.7 Приказ о назначении администратора защиты ПДн. 15
2.8 Приказ о назначении ответственных за эксплуатацию СКЗИ.. 16
Приложение Формы организационно-распорядительных документов ЛПУ.. 17
Приложение ПРИКАЗ О допуске сотрудников ЛПУ к обработке ПДн. 20
Приложение ПРИКАЗ О порядке допуска лиц в защищаемые помещения. 22
Приложение ПРИКАЗ О назначении администратора информационной безопасности в ЛПУ.. 24
ПРИКАЗ О назначении ответственных за обезличивание персональных данных 26
ПРИКАЗ Об утверждении Положения об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации 28
ПРИКАЗ Об утверждении Положения об обработке персональных данных в ЛПУ 56
ПРИКАЗ Об определении границ контролируемой зоны.. 62
ПРИКАЗ Об утверждении Правил рассмотрения запросов субъектов ПДн в ЛПУ 64
ПРИКАЗ Об утверждении формы согласия пациента на обработку ПДн в ЛПУ.. 68
ПРИКАЗ Об утверждении формы согласия работника ЛПУ на обработку ПДн 71
ПРИКАЗ Об обеспечении выполнения требований по использованию.. 73
и обслуживанию СКЗИ.. 73
ПРИКАЗ О создании комиссии по классификации информационных систем персональных данных. 76
АКТ определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных (название ИСПДн) 77
Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных (название ИСПДн) 78
ПРАВИЛА осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных ЛПУ.. 99
ПРИКАЗ О порядке обработки персональных данных без использования. 104
средств автоматизации. 104
ПРИКАЗ О создании комиссии по уничтожению персональных данных. 107
1 Нормативно-правовая база в области защиты персональных данных – перечень нормативно-правовых актов и методических документов
1.1.Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.2.Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
1.3.Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.4.Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.5.Приказ ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
1.6. Методический документ. Меры защиты информации в государственных информационных системах. Утверждены ФСТЭК России 11.02.2014
1.7. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждена Заместителем директора ФСТЭК от 15 февраля 2008 года).
1.8.Банкданных угроз безопасности информации (www.bdu.fstec.ru).
1.9. Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн (Утверждена Заместителем директора ФСТЭК от 15 февраля 2008 года).
1.10.Концепция информационной безопасности информационных систем персональных данных учреждения здравоохранения, социальной сферы, труда и занятости, утвержденная Министром здравоохранения и социального развития Российской Федерации в 2009 году.
1.11. Политика информационной безопасности информационных систем персональных данных учреждения здравоохранения, социальной сферы, труда и занятости, утвержденная Министром здравоохранения и социального развития Российской Федерации в 2009 году.
1.12. Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости, утвержденные 23.12.2009 директором Департамента информатизации Министерства здравоохранения и социального развития Российской Федерации (Согласованные с начальником 2 управления ФСТЭК России).
1.13. Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в ИСПДн учреждений и организаций здравоохранения, социальной сферы, труда и занятости, утвержденные 23.12.2009 директором Департамента информатизации Министерства здравоохранения и социального развития Российской Федерации (Согласованные с начальником 2 управления ФСТЭК России).
1.14. Модель угроз типовой медицинской информационной системы (МИС) типового лечебно-профилактического учреждения (Согласована с заместителем Директора ФСТЭК России 27.11.2009)
1.15.Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
1.16.Приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. (Положение ПКЗ-205).
1.17. Постановление Правительства Российской Федерации от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.
2 Основные рекомендации
В приложении к данным Рекомендациям приведены формы документов, составляющие основу комплекта ОРД по информационной безопасности медицинской организацией.
В официальных источниках, в том числе разработанных регуляторами, приводятся различные наборы ОРД. Узаконенного перечня данных документов нет. Но в любом случае, рекомендуется для медицинской организации разработать следующие документы:
· Акт классификации ИСПДн;
· Модель угроз ИСПДн;
· Приказ о перечне ПДн;
· Приказ о списке лиц допущенных к ПДн;
· Приказ об обеспечении безопасности ПДн;
· Приказ об обработке ПДн;
· Приказ о назначении администратора информационной безопасности;
· Приказ о назначении ответственных за эксплуатацию СКЗИ;
· Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов.
· Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним.
· Журнал учета машинных носителей информации.
· Журнал периодического тестирования средств защиты информации.
· Журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн.
· Журнал учета пользователей, допущенных к информационным системам персональных данных.
· Журнал проверок электронных журналов.
2.1 Акт классификации ИСПДн
Акт классификации составляется для каждой ИСПДн и основывается на нижеперечисленных пунктах.
А) Категория ПДн:
· Специальные ПДн: сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
· Биометрические ПДн: сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
· Общедоступные ПДн: сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом.
· Иные ПДн: сведения, не представленные в трех предыдущих группах.
Б) Актуальные угрозы:
Под актуальными угрозами понимаются условия и факторы, создающие опасность несанкционированного доступа к персональным данным (в том числе случайного), в результате которого данные могут быть уничтожены, изменены, блокированы, копированы, предоставлены или распространены.
Угрозы 1-го типа - актуальны для информационной системы, если для нее, в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы2-го типа - актуальны для информационной системы, если для нее, в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа - актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
В) Объем обрабатываемых персональных данных:
· более 100000.
· менее 100000
Г) Наличие подключения к сетям связи общего пользования и (или) сетям международного информационного обмена:
· системы, имеющие подключения.
· системы, не имеющие подключений.
На основе вышеперечисленных пунктов каждой ИСПДн в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» должен быть присвоен уровень защищенности.
Внешний нарушитель.
В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.
Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.
Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.
Внутренний нарушитель
Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированного доступа.
Система разграничения доступа ИСПДн обеспечивает разграничение прав пользователей на доступ к информационным, программным, аппаратным и другим ресурсам ИСПДн в соответствии с принятой политикой информационной безопасности (правилами). К внутренним нарушителям могут относиться:
· администраторы ИСПДн (категория I);
· администраторы конкретных подсистем или баз данных (категория II);
· пользователи ИСПДн (категория III);
· пользователи, являющиеся внешними по отношению к конкретной АС (категория IV);
· лица, обладающие возможностью доступа к системе передачи данных (категория V);
· сотрудники учреждения, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются элементы ИСПДн, но не имеющие права доступа к ним (категория VI);
· обслуживающий персонал (охрана, работники инженерно–технических служб и т.д.) (категория VII);
· уполномоченный персонал разработчиков ИСПДн, который на договорной основе осуществляет техническое обслуживание и модификацию компонентов ИСПДн (категория VIII).
На лиц категорий I и II возложены задачи по администрированию программно-аппаратных средств и баз данных ИСПДн для интеграции и обеспечения взаимодействия различных подсистем, входящих в состав ИСПДн. Администраторы потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИСПДн, а также к техническим и программным средствам ИСПДн, включая средства защиты, используемые в конкретных АС, в соответствии с установленными для них административными полномочиями.
Эти лица хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности.
Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников). Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием.
К лицам категорий I и II ввиду их исключительной роли в ИСПДн должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей.
Предполагается, что в число лиц категорий I и II будут включаться только доверенные лица и поэтому рекомендуется указанные лица исключить из числа вероятных нарушителей.
Рекомендуется к вероятным нарушителям отнести лиц категорий III-VIII.
Рекомендуется принять предположение, что возможность сговора внутренних нарушителей маловероятна, ввиду принятых организационных и контролирующих мер.
2.3 Приказ о перечне ПДн
Приказ должен содержать перечень всех персональных данных, обрабатываемых в организации, как с использованием, так и без использования средств автоматизации.
2.4 Приказ о списке лиц допущенных к ПДн
В соответствии с ч. 2. п.8 Приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», руководителю медицинской организации необходимо:
а) разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
б) поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
2.5 Приказ об обеспечении безопасности ПДн
Приказ об обеспечении безопасности включает в себя:
· Положения об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных.
· Общие положения
· Порядок работы персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн
· Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных, защищаемой информации и средств защиты информации
· Порядок контроля защиты информации в ИСПДн и приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления. Порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации и принятие мер по предотвращению возможных опасных последствий. Порядок обучения персонала практике работы в ИСПДн в части обеспечения безопасности персональных данных.
· Порядок проверки электронного журнала обращений к ИСПДн;
· Правила антивирусной защиты;
· Правила парольной защиты;
· Правила обновления общесистемного и прикладного программного обеспечения, технического обслуживания ИСПДн, внесения изменений в конфигурацию средств защиты информации;
· Порядок контроля соблюдения условий использования средств защиты информации, в том числе криптографических;
· Порядок охраны и допуска сотрудников и лиц не являющихся сотрудниками организации в защищаемые помещения;
· Порядок стирания защищаемой информации и уничтожения носителей защищаемой информации;
· Порядок управления учетными записями.
· Форму журнала поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов.
· Форму журнала поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним.
· Форму журнала учета машинных носителей информации.
· Форму журнала учета хранилищ.
· Форму журнала периодического тестирования средств защиты информации.
· Форму журнала учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн.
· Форму журнала учета пользователей, допущенных к информационным системам персональных данных.
· Форму журнала проверок электронных журналов.
2.6 Приказ об обработке ПДн
Согласно ст.18.1 и ст.19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных» в организации необходимо разработать порядок хранения, обработки и защиты персональных данных.
Приказ должен содержать:
· условия сбора, обработки, передачи, хранения и защиты персональных данных.
· доступ к персональным данным.
· ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.
Работодатель обязан ознакомить работников с Приказом об организации обработки и защиты персональных данных под роспись.
2.7 Приказ о назначении администратора защиты ПДн
В соответствии с частью 3 Приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» руководителю необходимо назначить обладающего достаточными навыками работника оператора ответственным за защиту персональных данных в информационной системе.
Обязанности администратора:
1. Осуществлять внутренний контроль за соблюдением работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2. Доводить до сведения работников положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
2.8 Приказ о назначении ответственных за эксплуатацию СКЗИ
Приказ о назначении ответственных за эксплуатацию СКЗИ составляется в соответствии с Приказом ФАПСИ от 13.06.2001г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» и включает в себя:
· Права и обязанности ответственного за использование криптосредств
· Обязанности пользователей криптосредств
· Правила по учету и хранению СКЗИ и криптографических ключей.
Приложение
Формы
организационно-распорядительных документов ЛПУ
ПРИКАЗ
О назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах ЛПУ
Во исполнение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
1. Назначить ответственным за организацию обработки персональных данных в информационных системах персональных данных ЛПУ
_________________________________________________________________ .
(должность, Ф.И.О сотрудника)
2. Утвердить «Инструкцию ответственного лица за обработку персональных данных в ЛПУ (Приложение № 1).
3. Возложить на _____________________________ следующие обязанности:
(Ф.И.О сотрудника)
- предоставление на утверждение списка лиц, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных ЛПУ необходим для выполнения служебных (трудовых) обязанностей, а также изменений к нему;
- осуществление внутреннего контроля соблюдения работниками ЛПУ законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доведение до сведения работников (оператора) положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организация приема и обработка обращений субъектов персональных данных или их представителей и осуществление контроля приема и обработкой таких обращений.
Приложение к приказу
ИНСТРУКЦИЯ
ответственного за организацию обработки персональных данных в ЛПУ
I. Общие положения
1. Настоящая должностная инструкция определяет права, ответственность и обязанности ответственного (далее - Ответственный) за организацию обработки персональных данных (далее ‑ ПДн) в ЛПУ.
2. Методическое руководство и контроль работы должностных лиц в ЛПУ осуществляет Ответственный за организацию обработки персональных данных.
II. Обязанности ответственного за организацию обработки персональных данных
3. Должностное лицо, ответственное за организацию обработки ПДн в ЛПУ, обязано:
- знать и выполнять требования действующего законодательства РФ, а также внутренних инструкций и положений, регламентирующих деятельность по обработке и защите ПДн;
- отслеживать изменения действующего законодательства РФ по вопросам защиты и обработки ПДн;
- согласовывать свои действия по обработке и защите ПДн с сотрудниками отдела информационной безопасности ЛПУ;
- участвовать в проведении служебных расследований по фактам нарушения функционирования информационной системы персональных данных, а также других случаев нарушения правил обработки и защиты ПДн в соответствующем структурном подразделении;
- организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль приема и обработки таких обращений и запросов;
- организовать ведение журнала учета обращений субъектов ПДн;
- организовать инструктаж должностных лиц, уполномоченных на обработку ПДн в информационных системах персональных данных.
III. Права ответственного за организацию обработки персональных данных
4. Должностное лицо, ответственное за организацию обработки ПДн в ЛПУ имеет право:
- требовать от должностных лиц, уполномоченных на обработку персональных данных, безусловного соблюдения установленных правил обработки и защиты ПДн;
- требовать от должностных лиц, уполномоченных на обработку персональных данных прекращения обработки ПДн, в случаях их неправомерного использования и нарушения установленного порядка обработки;
- обращаться к ответственному (подразделение учреждения, назначенное ответственным) за организацию защиты персональных данных ЛПУ с запросом об оказании необходимой технической и методической помощи в работе;
- доступа во все помещения соответствующего структурного подразделения, где осуществляется обработка ПДн.
IV. Ответственность
5. Должностное лицо, ответственное за организацию обработки ПДн в ЛПУ несет ответственность:
- за качество и полноту проводимых им работ по организации обработки ПДн в соответствии с функциональными обязанностями, определенными настоящей Инструкцией;
- за сохранность сведений ограниченного распространения в соответствии с требованиями законодательства в области защиты ПДн.
Приложение
ПРИКАЗ
О допуске сотрудников ЛПУ к обработке ПДн
В целях исполнения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
1. Утвердить список сотрудников ЛПУ, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения служебных обязанностей (прилагается).
2. Допустить указанных сотрудников к обработке персональных данных.
Приложение к приказу
Список
сотрудников ЛПУ, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения служебных (трудовых) обязанностей
№ | Фамилия Имя Отчество | Должность | Информационная система персональных данных |
1. | |||
2. | |||
3. | |||
4. | |||
5. | |||
6. | |||
7. | |||
8. | |||
9. | |||
10. |
Приложение
ПРИКАЗ
О порядке допуска лиц в защищаемые помещения
С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012
№ 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
приказываю:
1. Утвердить список помещений, предназначенных для обработки персональных данных (Приложение).
2. Руководителям структурных подразделений медицинской организации:
1) в срок до __________ представить в отдел ____________________ списки сотрудников для организации допуска сотрудников в помещения, утвержденные списком;
2) разместить списки лиц, имеющих право самостоятельного доступа в помещения для обработки ПДн на дверях помещений с внутренней стороны.
3. Запретить нахождение в помещениях, предназначенных для обработки ПДн, посторонних лиц без сопровождения лиц, имеющих право самостоятельного доступа.
4. В нерабочее время помещения для обработки ПДн должны закрываться на ключ и сдаваться под охрану.
5. Установку и замену оборудования в помещениях, предназначенных для обработки ПДн, а также ремонт помещений проводить по согласованию с отделом ____________________.
6. Возложить ответственность за соблюдение режима доступа в помещения, предназначенные для обработки ПДн, на лиц, постоянно работающих в помещениях, и руководителей структурных подразделений.
7. Возложить на ___________________________________________________
(должность, Ф.И.О)
контроль списков лиц, допущенных для работы в помещениях, предназначенных для обработки ПДн.
Приложение к приказу
Список помещений, предназначенных для обработки персональных данных
№ п/п | Наименование помещения | Адрес и место расположения |
Приложение
ПРИКАЗ
О назначении администратора информационной безопасности в ЛПУ
Во исполнение постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
ПРИКАЗЫВАЮ:
1. Назначить ответственным за выполнение работ по технической защите персональных данных (администратором информационной безопасности) в ЛПУ_________________________________________________________________ (должность, Ф.И.О)
2. Выполнение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) возложить на ___________________________________________________
(название подразделения)
(начальник _____________________________).
(Ф.И.О начальника подразделения)
3. В срок до ______________ года назначенным лицам разработать и внедрить:
– план мероприятий по обеспечению защиты персональных данных;
– перечень персональных данных, подлежащих защите;
– положение о порядке обработки и обеспечении безопасности персональных данных;
– определить уровни защищенности персональных данных при их обработке в ИСПДн для каждой ИСПДн с оформлением актов;
– частную модель угроз для каждой ИСПДн;
– матрицу доступа сотрудников к персональным данным;
– журнал учета используемых сертифицированных технических средств защиты информации, эксплуатационной и технической документации к ним;
– порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ;
– журнал учета носителей персональных данных;
– журнал регистрации и учета обращений субъектов персональных данных;
– инструкцию администратора безопасности ИСПДн;
ПРИКАЗ
О назначении ответственных за обезличивание персональных данных
Во исполнение постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», приказа ФСТЭК России от 18.02. 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
ПРИКАЗЫВАЮ:
1.Утвердить Перечень сотрудников ЛПУ, ответственных за проведение мероприятий по обезличиванию персональных данных (Приложение).
2.Указанным в перечне сотрудникам производить выполнение обезличивание персональных данных в соответствии с правилами, определенными приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
Приложение к приказу
ПЕРЕЧЕНЬ
сотрудников ЛПУ, ответственных за проведение мероприятий по обезличиванию персональных данных
№ п/п | Ф.И.О, должность | Примечание |
1. | ||
2. |
ПРИКАЗ
Об утверждении Положения
об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации
Во исполнение Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119, на основании Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
ПРИКАЗЫВАЮ:
1. Утвердить:
1) Положение об организации и проведении работ в ЛПУ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (Приложение № 1).
2) типовые формы журналов (Приложение № 2):
- учета установленных средств защиты информации;
- журнала учета машинных носителей;
- журнала учета хранилищ;
- журнала периодического тестирования средств защиты;
- журнала учета нештатных ситуаций информационных систем персональных данных (далее-ИСПДн), выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн;
- журнала учета пользователей, допущенных к информационным системам персональных данных;
- журнала проверок электронных журналов;
- журнала учета обращений субъектов персональных данных (далее-ПДн) о выполнении их законных прав.
2. ________________________завести журналы согласно типовым формам.
(должность, Ф.И.О)
Приложение № 1
ПОЛОЖЕНИЕ
об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации.
Общие положения.
1.1. Данное «Положение об организации и проведении работ в ЛПУ по обеспечению безопасности персональных данных при их автоматизированной обработке и/или без использования средств автоматизации в информационных системах персональных данных» (далее – Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», методическими рекомендациями ФСТЭК России и